+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Opšte teme (https://bezbedanbalkan.net/forum-1.html)
+--- Forum: Honeypots (https://bezbedanbalkan.net/forum-37.html)
+--- Thread: Honeypot za balkanske IP adrese (/thread-37.html)
Honeypot za balkanske IP adrese - y0d4 - 09-19-2022
Zdravo svima, pala mi ideja da pocnemo da pratimo nase IP adrese koje su maliciozne?
Konkretno, podigao bih honeypot na kom bi namesito da samo IP adrese sa balkana mogu da mu pristupe i time bi dobijali info na kojim IP adresama su zarazeni servisi i napadaci...
Sto posle mozemo i da automatizujemo da se salje email na abuse@ od IP adrese koja je ukljucena u malicioznu aktivnost...
RE: Honeypot za balkanske IP adrese - 1van - 09-19-2022
Super ideja, hteo sam i sam tako nešto da napravim, čak Raspberry Pi + Netcat je dovoljan. T.j. imao sam postavljeno pre par godina, simulirao sam TR-069 i SIP, hvatao nove eksploite. Ako te ne mrzi sastavi nešto pa će postavimo na svim provajderima.
RE: Honeypot za balkanske IP adrese - y0d4 - 09-22-2022
Honeypot je aktivan vec skoro 24h.
Filtrirao sam balkanske adrese (srb, bih, cg, cro, slo, n macedonia - ako mislite da treba dadati i ostale poput albanije, kosova, rumunije, bugarske, grcke - recite) i stanje je sledece:
Slovenia:
188.198.228.84
5.249.181.36
Serbia:
79.101.99.58
188.255.225.21
212.200.19.90
77.46.139.104
80.74.162.64
North Macedonia:
62.162.147.107
185.233.208.16
77.29.62.32
Croatia:
213.186.16.163
109.227.59.90
37.0.182.15
BIH:
n/a
Kao sto mozemo videti uvek je negde neka mashina kompromitovana i sluzi raznim namenama (trazenje propusta, brute-force naloga....).
Sledeca ideja je da se ovo automatizuje i da prilikom hit-a, IP adresa sa koje je dosao hit, dobija email da je ta IP adresa kompromitovana.... al kad vreme dozvoli, bice...
p.s: evo kako to izgleda za 24h u grafickom prikazu:
![[Image: image.png]](https://i.postimg.cc/0jQW79qx/image.png)
RE: Honeypot za balkanske IP adrese - 1van - 09-22-2022
Ovo je odlično! Hvala puno!
RE: Honeypot za balkanske IP adrese - acobratic - 09-22-2022
Super!!
RE: Honeypot za balkanske IP adrese - Aleksandar.Dj. - 09-28-2022
Pa to bi trebalo (ja mislim) CERT da vec radi. Dobijao sam u inostranstvu (Nemacka, Svajcarska...) od njihovih CERT-ova upozorenja kad na serverima hostovanim u tim zemljama postoji nesto sto ne treba.
RE: Honeypot za balkanske IP adrese - 1van - 09-28-2022
Aleksandre, ako uspeš da dobiješ ove informacije od naših CERT-ova molim te podeli sa nama. Mi upravo ovo i želimo da pokrenemo jer vidimo da nema takvih informacija.
RE: Honeypot za balkanske IP adrese - Aleksandar.Dj. - 09-28-2022
Ivane ja ne znam da to i rade, samo mislim (na osnovu iskustva iz drugih zemalja) da bi trebalo. Secam se imao sam davno kod Hetznera neki shared hosting server i neki sajt na tom serveru je bio hakovan i slao svasta nesto i dobio sam bio od nemackog CERT-a upozorenje putem mejla za to (konkretno od cert-bund.de).
Inace bilo bi zanimljivo da honeypot automatski pravi neki alert (mozda postuje na forum
?) koji bi videli svi kad se detektuje nesto.edit: Isto jos bi bolje bilo ako bi moglo da se napravi da izgleda zanimljivo nekim APT-evima sa strane pa da sluzi kao neki "early detection"
RE: Honeypot za balkanske IP adrese - 1van - 09-28-2022
Razumemo se, CERT-ovi u drugim zemljama rade mnogo više na informisanju korisnika i građana. Ali kod nas umeju i da prilično ignorišu, evo jednog primera: https://security-net.biz/shared/cert/jedan_obican_dan_cert_srbija.html.
Što se tiče predloga za unapređenje, ovog našeg monitoring sistema, mislim da @y0d4 već radi na tome.
RE: Honeypot za balkanske IP adrese - 1van - 10-03-2022
@y0d4 da li bi mogao da radiš neki periodični POST rezultata (JSON fajlova iz Elasticsearch) na ovaj URL (ili neki drugi koji se dogovorimo), pa da radimo filtering i štampanje na nekoj od tema, sa ove (serverske) strane?