Honeypot Live:即時 SSH 機器人互動儀表板

Honeypot Live:即時 SSH 機器人互動儀表板

即時可見的 SSH 機器人活動

Honeypotlive.cc 將原始 Cowrie 日誌轉換為即時、基於 Web 的儀表板,展示每一次 SSH 連線、認證嘗試與指令執行的全過程。 透過 WebSocket 串流 JSON 事件,任何人都能在數秒內觀察自動化攻擊的展開,揭露在靜態日誌檔中看不見的模式。


儀表板顯示的內容

  • 來源 IP 與埠號 – 每一次新的 TCP 連線都會以 session.connect 記錄,並顯示客戶端的 IP(例如 91.92.42.61)。
  • SSH 客戶端指紋(HASSH) – 儀表板會為每個會話提取客戶端的 HASSH 指紋(0a07365cc01fa9fc82608ba4019af499),以便進行指紋為基礎的叢集分析。
  • 認證嘗試 – 同時顯示 login.failed(例如 [myuser/123456])與 login.success 事件,並呈現精確的使用者名稱/密碼組合。
  • 指令執行 – 當會話達到 login.success 後,隨後的 command.input 行(例如 uname -s -v -n -r -m)會即時出現。
  • 檔案活動 – 儀表板會報告檔案寫入、下載以及 TTY 日誌(log.closed)。
  • 通道請求 – 例如 SSH 轉發嘗試等事件會作為會話流程的一部分被捕獲。

8 小時樣本的主要發現

  • 流量量級 – 來自 213 個唯一 IP 的 1,950 個會話,其中 327 個會話執行了指令。
  • 重複的公鑰安裝 – 同一把 SSH 金鑰在 11 個 IP 中被安裝了 152 次,顯示出協調的持久化企圖。
  • 指紋驅動的攻擊 – 多個會話共享相同的 HASSH 指紋,暗示單一 Botnet 或腳本族群。
  • 偵查腳本 – 重複出現的指令序列嘗試區分真實 Shell 與蜜罐,可能透過探測時間或環境變數實現。
  • 多架構載荷 – 機器人請求多種 CPU 架構的下載 URL,暗示通用惡意程式投放器。
  • SSH 轉發濫用 – 多個會話嘗試建立代理通道,這是規避出口過濾的典型手法。
  • 分散式認證探測 – 機器人在 1–2 秒內連線、測試單一認證後即斷線,產生大量短暫會話。

社群回應與想法

"Hi tusksm! It’s honeypot season! Really cool project, I’ve been working on a honeypot project of my own called honeyprompt that utilizes LLMs to craft responses and supports multiple protocols. Having a public sink presentation layer like honeypotlive.cc was one of my next todos." – @arm32

"You know what extra data would be cool? If you hit curl https://ip.guide/{src_ip} and got back the ASN and country etc and added a leaderboard. In my own experiments I’ve been gobsmacked by how much malicious traffic comes from Azure." – @drcongo

"Someone instantly started spamming the bee movie’s introduction. Solid pun." – @belval

"Watching the first few minutes was more educational than I expected." – @preetham_rangu

這些評論突顯了三個重複出現的主題:

  1. 豐富 IP 資料 – 整合 ASN、地理位置與聲譽服務,將原始 IP 轉化為可操作的情報。
  2. 擴展互動 – 使用 LLM 驅動的回應(如 honeyprompt)可讓蜜罐更具說服力,並收集更豐富的載荷。
  3. 社群驅動的分析 – 排行榜或活動層級的檢視可協助研究人員比較不同蜜罐的活動情形。

Honeypotlive 的潛在下一步

目標 為何重要 可能的實作方式
自動會話分類 快速區分掃描、認證探測、偵查、持久化、下載與通道等活動。 在標記過的 Cowrie 事件上訓練輕量分類器,於即時串流中為會話加標籤。
攻擊叢集 辨識跨多個 IP 的協調攻擊。 依共享的 HASSH 指紋、指令序列、公鑰雜湊或下載檔案雜湊分組會話。
豐富 IP 上下文 立即提供威脅情報(ASN、國家、已知濫用)。 於連線時查詢 ipinfo.ioip.guide 等服務,快取結果並與 IP 同時顯示。
歷史搜尋與統計 讓分析師查詢過往會話、趨勢與活躍機器人。 將事件存入時序資料庫(如 InfluxDB),並提供搜尋 UI。
分散式感測支援 超越單一 VPS,監控多個網路區段。 在訊息中介(Kafka / RabbitMQ)後端部署多個 Cowrie 實例,於儀表板聚合事件。
開源收集器與儀表板 鼓勵社群貢獻與可重現性。 將 Python 日誌監聽器與前端程式碼發布至 GitHub,附上清晰的貢獻指南。

隱私與負責任披露考量

即時串流會包含來源 IP 與嘗試的認證資訊。作者已註明,IP 可能屬於受感染主機、VPN 或掃描器。平台的任何擴充都應保留此警示,並考慮以下措施:

  • 對公共 API 進行速率限制,防止濫用。
  • 在保留期限後匿名化 IP
  • 提供下架流程,讓被誤標的 IP 所有者能申請移除。

結論

Honeypotlive.cc 展示了將原始蜜罐日誌轉換為互動式即時可視化的威力。透過揭露認證嘗試、指令執行與指紋資料,它讓本應埋沒在彙總日誌中的自動化 SSH 攻擊結構浮現。社群回饋指向豐富 IP 資料、加入自動分類與建置可搜尋的歷史存檔等方向,這些功能有望將專案從單純的即時檢視器,升級為安全研究人員的全功能分析平台。

Sources