honeypots

30 pots de miel à bas niveau dans un seul package PYPI pour surveiller le trafic réseau, les activités de bots et le nom d'utilisateur les informations d'identification de mot de passe.

Les pots de miel réagissent, non bloquant, peuvent être utilisés comme objets, ou appelés directement avec les scripts de configuration automatique intégrés! De plus, ils sont faciles à configurer et à personnaliser; Il faut 1 à 2 secondes pour faire tourner un pot de miel. Vous pouvez faire tourner plusieurs instances avec le même type. Pour une intégration facile, la sortie peut être enregistrée dans une base de données Postgres, un fichier, un terminal ou un syslog.

Ce package Honeypots est le seul package qui contient tous les éléments suivants: DHCP, DNS, Elastic, FTP, proxy HTTP, proxy HTTP SMTP, SNMP, SOCKS5, SSH, Telnet, VNC.

Honeypots est dans le génial Project Telekom Security T-Pot!

• Ajouter capture_commands aux options pour capturer plus d'informations sur la source de menace (regardez la table si elle est prise en charge ou non)

 pip3 install honeypots

Qeeqbox/honeypots customizable honeypots for monitoring network traffic, bots activities, and username p assword credentials

Arguments:
  --setup               target honeypot E.g. ssh or you can have multiple E.g ssh,http,https
  --list                list all available honeypots
  --kill                kill all honeypots
  --verbose             Print error msgs

Honeypots options:
  --ip                  Override the IP
  --port                Override the Port (Do not use on multiple ! )
  --username            Override the username
  --password            Override the password
  --config              Use a config file for honeypots settings
  --options             Extra options (capture_commands for capturing all threat actor data)

General options:
  --termination-strategy {input,signal} Determines the strategy to terminate by
  --test                Test a honeypot
  --auto                Setup the honeypot with random port

pot de miel, ou plusieurs pots de miel séparés par une virgule ou un mot all

 sudo -E python3 -m honeypots --setup ssh --options capture_commands

pot de miel, ou plusieurs pots de miel séparés par une virgule ou un mot all

 python3 -m honeypots --setup ssh --auto

Utiliser comme pot de miel: port ou plusieurs pots de miel comme pot de miel: port, pot de miel: port

 sudo -E python3 -m honeypots --setup imap:143,mysql:3306,redis:6379

pot de miel, ou plusieurs pots de miel dans un dict

sudo -E python3 -m honeypots --setup ftp --config config.json

{
  "logs" : " file,terminal,json " ,
  "logs_location" : " /var/log/honeypots/ " ,
  "syslog_address" : " " ,
  "syslog_facility" : 0 ,
  "postgres" : " " ,
  "sqlite_file" : " " ,
  "db_options" : [],
  "sniffer_filter" : " " ,
  "sniffer_interface" : " " ,
  "honeypots" : {
    "ftp" : {
      "port" : 21 ,
      "ip" : " 0.0.0.0 " ,
      "username" : " ftp " ,
      "password" : " anonymous " ,
      "log_file_name" : " ftp.log " ,
      "max_bytes" : 10000 ,
      "backup_count" : 10 ,
      "options" :[ " capture_commands " ]
    }
  }
}

{
  "logs" : " syslog " ,
  "logs_location" : " " ,
  "syslog_address" : " udp://localhost:514 " ,
  "syslog_facility" : 3 ,
  "postgres" : " " ,
  "sqlite_file" : " " ,
  "db_options" : [],
  "sniffer_filter" : " " ,
  "sniffer_interface" : " " ,
  "honeypots" : {
    "ftp" : {
      "port" : 21 ,
      "ip" : " 0.0.0.0 " ,
      "username" : " test " ,
      "password" : " test " ,
      "options" :[ " capture_commands " ]
    }
  }
}

{
    "logs" : " db_postgres " ,
    "logs_location" : " " ,
    "syslog_address" : " " ,
    "syslog_facility" : 0 ,
    "postgres" : " //username:[email protected]:9999/honeypots " ,
    "sqlite_file" : " " ,
    "db_options" :[ " drop " ],
    "sniffer_filter" : " " ,
    "sniffer_interface" : " " ,
    "honeypots" : {
        "ftp" : {
            "port" : 21 ,
            "username" : " test " ,
            "password" : " test "
        }
    }
}

{
    "logs" : " db_postgres " ,
    "logs_location" : " " ,
    "syslog_address" : " " ,
    "syslog_facility" : 0 ,
    "postgres" : " " ,
    "sqlite_file" : " /home/test.db " ,
    "db_options" :[ " drop " ],
    "sniffer_sniffer_filter" : " " ,
    "sniffer_interface" : " " ,
    "honeypots" : {
        "ftp" : {
            "port" : 21 ,
            "username" : " test " ,
            "password" : " test " ,
            "options" :[ " capture_commands " ]
        }
    }
}

[
  {
    "id" : 1 ,
    "date" : " 2021-11-18 06:06:42.304338+00 " ,
    "data" : {
      "server" : " ftp_server " ,
      "action" : " process " ,
      "status" : " success " ,
      "ip" : " 0.0.0.0 " ,
      "port" : " 21 " ,
      "username" : " test " ,
      "password" : " test "
    }
  }
]

 from honeypots import QSSHServer
qsshserver = QSSHServer ( port = 9999 )
qsshserver . run_server ( process = True )
qsshserver . test_server ( port = 9999 )
INFO : chameleonlogger :[ 'servers' , { 'status' : 'success' , 'username' : 'test' , 'src_ip' : '127.0.0.1' , 'server' : 'ssh_server' , 'action' : 'login' , 'password' : 'test' , 'src_port' : 38696 }]
qsshserver . kill_server ()

 #you need higher user permissions for bindingclosing some ports

from honeypots import QSSHServer
qsshserver = QSSHServer ( port = 9999 )
qsshserver . run_server ( process = True )

ssh [email protected]

 INFO : chameleonlogger :[ 'servers' , { 'status' : 'success' , 'username' : 'test' , 'src_ip' : '127.0.0.1' , 'server' : 'ssh_server' , 'action' : 'login' , 'password' : 'test' , 'src_port' : 38696 }]
qsshserver . kill_server ()

 ' error '     : ' Information about current error ' 
' server '    : ' Server name '
' timestamp ' : ' Time in ISO '
' action '    : ' Query, login, etc.. '
' data '      : ' More info about the action '
' status '    : ' The return status of the action (success or fail) '
' dest_ip '   : ' Server address '
' dest_port ' : ' Server port '
' src_ip '    : ' Attacker address '
' src_port '  : ' Attacker port '
' username '  : ' Attacker username '
' password '  : ' Attacker password ' 

• Qdnsserver
  • Serveur: DNS
  • Port: 53 / UDP
  • Lib: twisted.dns
  • Journaux: IP, port
• QftPServer
  • Serveur: FTP
  • Port: 21 / TCP
  • Lib: twisted.ftp
  • Journaux: IP, port, nom d'utilisateur et mot de passe (par défaut)
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• Qhttpproxyserver
  • Serveur: proxy http
  • Port: 8080 / TCP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: IP, port et données
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
  • Renvoie un modèle factice par défaut
    • Un modèle personnalisé peut être fourni en définissant "template" pour ce serveur dans config.json (devrait être un chemin absolu)
• QHTTPSERVER
  • Serveur: http
  • Port: 80 / TCP
  • Lib: twisted.http
  • Journaux: IP, port, nom d'utilisateur et mot de passe
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• QHTTPSSERVER
  • Serveur: https
  • Port: 443 / TCP
  • Lib: twisted.https
  • Journaux: IP, port, nom d'utilisateur et mot de passe
• Qimapserver
  • Serveur: IMAP
  • Port: 143 / TCP
  • Lib: twisted.imap
  • Journaux: IP, port, nom d'utilisateur et mot de passe (par défaut)
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• QMYSQLSERVER
  • Émulateur: mysql
  • Port: 3306 / TCP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: IP, port, nom d'utilisateur et mot de passe
• Qpop3server
  • Serveur: POP3
  • Port: 110 / TCP
  • Lib: twisted.pop3
  • Journaux: IP, port, nom d'utilisateur et mot de passe (par défaut)
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• QPostGressServer
  • Émulateur: Postgres
  • Port: 5432 / TCP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: IP, port, nom d'utilisateur et mot de passe
• Qredisserver
  • Émulateur: redis
  • Port: 6379 / TCP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: IP, port, nom d'utilisateur et mot de passe
• QSMBSERVER
  • Serveur: redis
  • Port: 445 / TCP
  • Lib: impacquet
  • Journaux: IP, port et nom d'utilisateur
• QSMTPSERVER
  • Serveur: smtp
  • Port: 25 / TCP
  • Lib: tordu
  • Journaux: IP, port, nom d'utilisateur et mot de passe (par défaut)
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• QSOCKS5SERVER
  • Serveur: sock5
  • Port: 1080 / TCP
  • Lib: Socketsserver
  • Journaux: IP, port, nom d'utilisateur et mot de passe
• QSSHSERVER
  • Serveur: ssh
  • Port: 22 / TCP
  • Lib: Paramiko
  • Journaux: IP, port, nom d'utilisateur et mot de passe
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• QtelnetServer
  • Serveur: Telnet
  • Port: 23 / TCP
  • Lib: tordu
  • Journaux: IP, port, nom d'utilisateur et mot de passe
• Qvncserver
  • Émulateur: VNC
  • Port: 5900 / TCP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: IP, port, nom d'utilisateur et mot de passe
• QMSSQLSERVER
  • Émulateur: MSSQL
  • Port: 1433 / TCP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: IP, port, nom d'utilisateur et mot de passe ou hachage
• Qélasticserver
  • Émulateur: élastique
  • Port: 9200 / TCP
  • Lib: http.server
  • Journaux: IP, port et données
• Qldapserver
  • Émulateur: LDAP
  • Port: 389 / TCP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: IP, port, nom d'utilisateur et mot de passe
• QNTPSERVER
  • Émulateur: NTP
  • Port: 123 / UDP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: IP, port et données
• Qmemcacheserver
  • Émulateur: memcache
  • Port: 11211 / TCP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: IP, port et données
• Qoracleserver
  • Émulateur: Oracle
  • Port: 1521 / TCP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: données IP, port et connexion
• QSNMPSERVER
  • Émulateur: SNMP
  • Port: 161 / UDP
  • LIB: Twisted (émulation de bas niveau)
  • Journaux: IP, port et données
• Qsipserver
  • Émulateur: siroter
  • Port: 5060 / UDP
  • Lib: Twisted.sip
  • Journaux: IP, port et données
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• QircServer
  • Émulateur: IRC
  • Port: 6667 / TCP
  • Lib: twisted.irc
  • Journaux: IP, port, nom d'utilisateur et mot de passe
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• Qpjlserver
  • Émulateur: PJL
  • Port: 9100 / TCP
  • Lib: tordu
  • Journaux: IP, port
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• Qippserver
  • Émulateur: ipp
  • Port: 631 / TCP
  • Lib: tordu
  • Journaux: IP, port
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• QRDPSERVER
  • Émulateur: RDP
  • Port: 3389 / TCP
  • Lib: sockets
  • Journaux: IP, port, nom d'utilisateur et mot de passe
  • Options: Capturez toutes les commandes et données des acteurs de menace (disponibles)
• QDHCPSERVER
  • Émulateur: DHCP
  • Port: 67 / UDP
  • Lib: sockets
  • Journaux: IP, port

• En utilisant ce framework, vous acceptez les termes de licence de tous ces packages: pipenv twisted psutil dnspython requests impacket paramiko redis mysql-connector pycryptodome vncdotool service_identity requests[socks] pygments http.server
• Faites-moi savoir si j'ai manqué une référence ou une ressource!

• Presque tous les serveurs et émulateurs sont dépouillés - vous pouvez l'ajuster au besoin