appsecguardian-hash/Honeypot-Intelligence-IOCs-Threat-Data
GitHub: appsecguardian-hash/Honeypot-Intelligence-IOCs-Threat-Data
基于 ganasec 自有蜜罐基础设施捕获的威胁情报数据集,提供结构化 IOC 指标和检测规则,可直接集成到安全防御体系中。
Stars: 0 | Forks: 0
# 蜜罐情报 — IOC 与威胁数据
**传感器位置:**
ganasec 自有基础设施
**收集周期:**
2026-05-03 至 2026-05-06 (72 小时)
## 摘要
| 指标 | 数值 |
|--------|-------|
| SSH 会话数 | 3,453 |
| HTTP 漏洞利用尝试次数 | 79 |
| 唯一攻击者 IP 数 | 105 |
| 识别出的攻击活动数 | 7 |
| 被利用的 CVE 数 | 4 |
| 恶意软件样本数 | 0 (仅侦查) |
## 观察到的攻击活动
| # | 攻击活动 | 严重程度 | 报告 |
|---|----------|----------|--------|
| 1 | Solana Validator 暴力破解 | HIGH | [完整分析](reports/01_SOLANA_VALIDATOR_BRUTEFORCE.md) |
| 2 | Next.js 原型链污染 RCE | CRITICAL | [完整分析](reports/02_NEXTJS_PROTOTYPE_POLLUTION_RCE.md) |
| 3 | Apache 自复制蠕虫 | HIGH | [完整分析](reports/03_APACHE_SELFREP_WORM.md) |
| 4 | WordPress 漏洞利用工具包 | MEDIUM | [完整分析](reports/04_WORDPRESS_EXPLOITATION_TOOLKIT.md) |
| 5 | .env/Git 凭据窃取 | LOW | [完整分析](reports/05_ENV_GIT_CREDENTIAL_HARVESTING.md) |
| 6 | Yii2 Debug 面板扫描 | MEDIUM | [完整分析](reports/06_YII2_DEBUG_PANEL_SCANNING.md) |
| 7 | GeoServer RCE 扫描 | HIGH | [完整分析](reports/07_GEOSERVER_RCE_SCANNING.md) |
## IOC 文件 (CSV)
| 文件 | 描述 |
|------|-------------|
| [iocs_network.csv](iocs_network.csv) | 所有攻击者 IP,包含 ASN、国家、攻击活动和威胁级别 |
| [iocs_ssh_credentials.csv](iocs_ssh_credentials.csv) | 暴力破解中使用的凭据对 (侧重 Solana/加密货币) |
| [iocs_http_payloads.csv](iocs_http_payloads.csv) | HTTP 漏洞利用路径、方法和 payload 签名 |
| [iocs_file_artifacts.csv](iocs_file_artifacts.csv) | 攻击者留下的文件系统特征 |
| [iocs_c2_infrastructure.csv](iocs_c2_infrastructure.csv) | 已识别的命令与控制 (C2) 服务器 |
## 用法
将 CSV 导入您的 SIEM、威胁情报平台或防火墙规则中:
```
# 拦截所有攻击者 IP
awk -F',' 'NR>1 {print $1}' iocs_network.csv | sort -u > blocklist.txt
# 导入至 iptables
while read ip; do iptables -A INPUT -s "$ip" -j DROP; done < blocklist.txt
```
## 检测规则
### Snort/Suricata
```
# Next.js Prototype Pollution
alert http any any -> any any (msg:"Next.js Server Actions Prototype Pollution"; content:"Next-Action"; http_header; content:"__proto__"; http_client_body; sid:2026050601; rev:1;)
# Apache Worm C2
alert http any any -> any any (msg:"Apache CVE-2021-41773 Worm C2 Contact"; content:"125.135.169.171"; http_client_body; content:"apache.selfrep"; http_client_body; sid:2026050603; rev:1;)
```
### SSH 密钥检测
```
# 搜索植入的攻击者 SSH 密钥
grep -r "rsa-key-20230629" /home/*/.ssh/ /root/.ssh/ 2>/dev/null
```
## 许可证
本威胁情报数据基于 [CC BY 4.0](https://creativecommons.org/licenses/by/4.0/) 协议发布。归属:D0rkerDevil (@D0rkerDevil)
## 联系方式
- GitHub: [@dorkerdevil](https://github.com/dorkerdevil)
标签:Apache, C2基础设施, CISA项目, DAST, GeoServer, IoC, IP 地址批量处理, Metaprompt, PE 加载器, PoC, RCE, Solana, SSH, WordPress, Yii2, 威胁情报, 安全防护, 开发者工具, 恶意软件分析, 攻击指标, 暴力破解, 编程工具, 网络安全, 蜜罐, 证书利用, 远程代码执行, 防御部署, 隐私保护