Po te vymene stareho honeypotu za haas jsem mel jiste problemy na ruznych urovnich. Pri instalaci pres Foris/Luci a i pres prikazovou radku. Musel jsem odinstalovat uplne volbu honeypotu a pak znovu nainstalovat. (nekolikrat za sebou jelikoz jsem mel nejaky konflikt / neexistujici konflikt)
Vedle toho jsem musel prohlidnout updater(user.lua soubor) a zjistit co vse mam v kolizi a metodou pokus omyl jsem nasel prislusny balik (luci-app-tls mam ten dojem) a pak uz stacilo jen jednou odskrtnou/zaskrtnout honeypot volbu ve foris a samo se to rozjelo po nejblizsim behu updateru.
V ramci /etc/config/haas je dobre si overit, ze token je opravdu ten spravny.
A druhy jisty neduh byl v pripade ze si uzivatel udelal port-forward na ssh (a presmeroval rucne trafik pro honeypot.) je dobre toto pravidlo zrusit a s nim i prislusne otevrene porty. Vedle toho byla v jednom vlaknu zminovana vazba na upnp sluzbu, kvuli tomu “local_port 2525” nastaveni.
Dá se vůbec v tom Haas zachytit ještě něco zajímavého? Mě přijde, že hacker když se na stejný server úspěšně krátce po sobě připojí pod stejným loginem s různými hesly, nebo sice pod různými loginy a hesly, ale trefí se s 99% úspěšností do správného hesla, tak musí logicky tento server považovat za fake a nic ze svých triků nebude zkoušet.
No jako jednotlivec máš šanci něco zajímavého zachytit asi minimální, ale v tom obrovském kvantu dat, která přes Haas dostane NIC.cz se asi něco najít může - to je asi smysl celého projektu - v malém objemu dat se toho moc neobjeví ve velkém je šance podstatně větší, ale i tak je to hledání jehly v kupce sena
No a co se snahy toho “hackera” týká, ve většině případů se asi jedná o boty, které nekoukají vlevo ani vpravo a “sypou” to na všechny strany - na čím více adres to zkusí, tím větší je pravděpodobnost, že někoho “uloví”
Si právě myslím, že i ty lepší a novější boti by se tomu honeypotu takto vyhnuli a k analýze by zůstaly jen staré, nevýznamné a profláklé útoky. Kdyby ten honeypot dělal s přihlášením trochu drahoty nechal by útočníka otestovat klidně půlku jeho slovníku s hesly a pak ho tam teprve pustil (a hlavně si přitom zapamatoval pod jakým loginem a heslem a při dalším připojením by mu umožnil už jen toto přihlášení), tak to bude vypadat věrohodněji. To je ale jen taková moje spekulace
Uživatelsky by u reálného SSH nebo externího webového rozhraní pomohl automatický blocklist při překročení určitého počtu přihlášení v nějaké čase s určenou platností a ohlášením adminovi (email a Foris). Pěkně to má vyřešené Synology. Blokované IP je možné do seznamu zadat i ručně včetně geografického blokování přihlášení (Čína, USA, Kamerun, …). To se nastavuje jinde.
Dnes se mi to jednou objevilo. Jinak mimo to, že se stránky přehledu zachycených sezení načítají celkem pomalu, jsme se kromě jednoho případu už s touto chybou nesetkal.
edit: tak momentálně se stránky už načítají celkem svižně
@BuloZB: mám stejné zjištění, pokud chci jít na stránku se záznamy přímo z oblíbených v záložkách. Pokud jdu oklikou přes hlavní stránku Haas, pak Můj Honeypot a Moje zařízení, tak to načte. I když to chvíli trvá.
Zdravím,
o problému s pomalým načítáním, případně s 502 Bad Gateway na stránkách Honeypot as a Service víme a řešíme jej. Jakmile budu vědět více informací, tak dám vědět.
