HaaS je funkční


#45

Par poznamek, treba te to nasmeruje …

Po te vymene stareho honeypotu za haas jsem mel jiste problemy na ruznych urovnich. Pri instalaci pres Foris/Luci a i pres prikazovou radku. Musel jsem odinstalovat uplne volbu honeypotu a pak znovu nainstalovat. (nekolikrat za sebou jelikoz jsem mel nejaky konflikt / neexistujici konflikt)
Vedle toho jsem musel prohlidnout updater(user.lua soubor) a zjistit co vse mam v kolizi a metodou pokus omyl jsem nasel prislusny balik (luci-app-tls mam ten dojem) a pak uz stacilo jen jednou odskrtnou/zaskrtnout honeypot volbu ve foris a samo se to rozjelo po nejblizsim behu updateru.
V ramci /etc/config/haas je dobre si overit, ze token je opravdu ten spravny.
A druhy jisty neduh byl v pripade ze si uzivatel udelal port-forward na ssh (a presmeroval rucne trafik pro honeypot.) je dobre toto pravidlo zrusit a s nim i prislusne otevrene porty. Vedle toho byla v jednom vlaknu zminovana vazba na upnp sluzbu, kvuli tomu “local_port 2525” nastaveni.


#46

Dá se vůbec v tom Haas zachytit ještě něco zajímavého? Mě přijde, že hacker když se na stejný server úspěšně krátce po sobě připojí pod stejným loginem s různými hesly, nebo sice pod různými loginy a hesly, ale trefí se s 99% úspěšností do správného hesla, tak musí logicky tento server považovat za fake a nic ze svých triků nebude zkoušet.


#47

No jako jednotlivec máš šanci něco zajímavého zachytit asi minimální, ale v tom obrovském kvantu dat, která přes Haas dostane NIC.cz se asi něco najít může - to je asi smysl celého projektu - v malém objemu dat se toho moc neobjeví ve velkém je šance podstatně větší, ale i tak je to hledání jehly v kupce sena :slight_smile:
No a co se snahy toho “hackera” týká, ve většině případů se asi jedná o boty, které nekoukají vlevo ani vpravo a “sypou” to na všechny strany - na čím více adres to zkusí, tím větší je pravděpodobnost, že někoho “uloví” :slight_smile:


#48

Si právě myslím, že i ty lepší a novější boti by se tomu honeypotu takto vyhnuli a k analýze by zůstaly jen staré, nevýznamné a profláklé útoky. Kdyby ten honeypot dělal s přihlášením trochu drahoty nechal by útočníka otestovat klidně půlku jeho slovníku s hesly a pak ho tam teprve pustil (a hlavně si přitom zapamatoval pod jakým loginem a heslem a při dalším připojením by mu umožnil už jen toto přihlášení), tak to bude vypadat věrohodněji. To je ale jen taková moje spekulace :slight_smile:


#49

Chytrý hoch z Kamerunu … jeho pokusy replikují název mého providera a moje jméno … v tuto chvíli asi 250 pokusů za dvě hodiny.

Uživatelsky by u reálného SSH nebo externího webového rozhraní pomohl automatický blocklist při překročení určitého počtu přihlášení v nějaké čase s určenou platností a ohlášením adminovi (email a Foris). Pěkně to má vyřešené Synology. Blokované IP je možné do seznamu zadat i ručně včetně geografického blokování přihlášení (Čína, USA, Kamerun, …). To se nastavuje jinde.


#50

zdravim posledne dni 3-4 dni , sa nemozem dostat do interface honeypotu server vracia error:

som sam alebo je to vacsi vypadok ?


#51

Dnes se mi to jednou objevilo. Jinak mimo to, že se stránky přehledu zachycených sezení načítají celkem pomalu, jsme se kromě jednoho případu už s touto chybou nesetkal.

edit: tak momentálně se stránky už načítají celkem svižně


#52

@BuloZB: mám stejné zjištění, pokud chci jít na stránku se záznamy přímo z oblíbených v záložkách. Pokud jdu oklikou přes hlavní stránku Haas, pak Můj Honeypot a Moje zařízení, tak to načte. I když to chvíli trvá.


#53

Zdravím,
o problému s pomalým načítáním, případně s 502 Bad Gateway na stránkách Honeypot as a Service víme a řešíme jej. Jakmile budu vědět více informací, tak dám vědět. :wink:

//EDIT: 27.5 opraveno.


#54

A post was merged into an existing topic: Nefunkční HaaS od 30.5. 2018


#55