Honeypot Live:实时 SSH 机器人交互仪表盘

Honeypot Live:实时 SSH 机器人交互仪表盘

对 SSH 机器人活动的实时可视化

Honeypotlive.cc 将原始 Cowrie 日志转化为基于网页的实时仪表盘,实时展示每一次 SSH 连接、凭证尝试和命令执行。 通过在 WebSocket 上流式传输 JSON 事件,服务让任何人都能在几秒钟内观看自动化攻击的全过程,揭示在静态日志文件中难以发现的模式。


仪表盘展示的内容

  • 源 IP 和端口 – 每一次新的 TCP 连接都会记录为 session.connect,并附带客户端的 IP(例如 91.92.42.61)。
  • SSH 客户端指纹(HASSH) – 仪表盘会提取每个会话的 HASSH 指纹(0a07365cc01fa9fc82608ba4019af499),以便基于指纹进行聚类。
  • 认证尝试 – 同时展示 login.failed(例如 [myuser/123456])和 login.success 事件,并显示尝试的完整用户名/密码对。
  • 命令执行 – 当会话达到 login.success 后,随后出现的 command.input 行(例如 uname -s -v -n -r -m)会实时显示。
  • 文件活动 – 仪表盘报告文件写入、下载以及 TTY 日志(log.closed)。
  • 隧道请求 – SSH 转发等尝试会作为会话流程的一部分被捕获。

8 小时样本的关键发现

  • 数量 – 来自 213 个唯一 IP 的 1,950 个会话,其中 327 个会话执行了命令。
  • 重复的公钥安装 – 同一 SSH 密钥在 11 个 IP 上被安装了 152 次,暗示一次协同的持久化尝试。
  • 指纹驱动的攻击 – 多个会话共享相同的 HASSH 指纹,表明可能来自同一僵尸网络或脚本族。
  • 侦察脚本 – 重复出现的命令序列尝试区分真实 shell 与蜜罐,可能通过探测时延或环境变量实现。
  • 多架构载荷 – 机器人请求多个 CPU 架构的下载 URL,暗示通用的恶意软件投放器。
  • SSH 转发滥用 – 多个会话尝试建立代理隧道,这是规避出站过滤的经典手段。
  • 分布式凭证探测 – 机器人连接后测试单一凭证,随后在 1–2 秒内断开,导致大量短命会话的高 churn 率。

社区反馈与想法

"Hi tusksm! It’s honeypot season! Really cool project, I’ve been working on a honeypot project of my own called honeyprompt that utilizes LLMs to craft responses and supports multiple protocols. Having a public sink presentation layer like honeypotlive.cc was one of my next todos." – @arm32

"You know what extra data would be cool? If you hit curl https://ip.guide/{src_ip} and got back the ASN and country etc and added a leaderboard. In my own experiments I’ve been gobsmacked by how much malicious traffic comes from Azure." – @drcongo

"Someone instantly started spamming the bee movie’s introduction. Solid pun." – @belval

"Watching the first few minutes was more educational than I expected." – @preetham_rangu

这些评论突出了三个反复出现的主题:

  1. 丰富 IP 数据 – 整合 ASN、地理位置和信誉服务,可将原始 IP 转化为可操作的情报。
  2. 扩展交互 – 使用 LLM 驱动的响应(如 honeyprompt)可以让蜜罐更具说服力,并收集更丰富的载荷。
  3. 社区驱动的分析 – 排行榜或活动层级视图有助于研究者比较不同蜜罐之间的活动。

Honeypotlive 的潜在下一步

目标 为什么重要 可能的实现方式
自动会话分类 快速区分扫描、凭证探测、侦察、持久化、下载和隧道等活动。 在标记好的 Cowrie 事件上训练轻量级分类器;实时对会话打标签。
攻击活动聚类 识别跨多个 IP 的协同攻击。 按共享的 HASSH 指纹、命令序列、公钥哈希或下载的制品哈希对会话进行分组。
丰富 IP 上下文 提供即时威胁情报(ASN、国家、已知滥用)。 在连接时查询 ipinfo.ioip.guide 等服务,缓存结果并与 IP 一同展示。
历史搜索与统计 让分析师查询过去的会话、趋势和活跃机器人。 将事件存入时序数据库(如 InfluxDB),并提供搜索 UI。
分布式传感器支持 超越单一 VPS,监控多个网络段。 在消息中间件(Kafka/RabbitMQ)后部署 Cowrie 实例,并在仪表盘中聚合事件。
开源收集器与仪表盘 鼓励社区贡献与可复现性。 将 Python 日志监视器和前端代码发布到 GitHub,并提供清晰的贡献指南。

隐私与负责任披露的考量

实时流包含源 IP 和尝试的凭证。作者已注明免责声明:IP 可能属于被攻陷的主机、VPN 或扫描器。平台的任何扩展都应保留此警示,并考虑以下措施:

  • 对公共 API 进行限流,防止滥用。
  • 在保留期后对 IP 进行匿名化
  • 提供撤除流程,供误标 IP 的所有者使用。

结论

Honeypotlive.cc 展示了将原始蜜罐日志转化为交互式实时可视化的强大能力。通过公开凭证尝试、命令执行和指纹数据,它揭示了自动化 SSH 攻击的结构,这些信息在聚合日志中往往会丢失。社区反馈指向丰富 IP 数据、加入自动分类以及构建可搜索的历史归档——这些特性有望把项目从单纯的实时查看器升级为安全研究人员的全功能分析平台。

Sources