mateusdias96cs/honeypot-ssh

GitHub: mateusdias96cs/honeypot-ssh

APATE 是一个专业的 SSH 蜜罐,通过模拟逼真的 Linux 服务器环境来吸引、欺骗攻击者并实时分析其行为。

Stars: 0 | Forks: 0

# APATE — SSH 欺骗蜜罐

APATE

APATE 是一个使用 Python 开发的专业 SSH 蜜罐,它模拟真实的 Linux 服务器,以实时吸引、欺骗和分析攻击者。 ## 工作原理 攻击者通过 SSH 连接到 2222 端口,会看到合法的 OpenSSH 横幅,使用真实凭据进行身份验证,浏览虚假的 Linux 文件系统并执行命令——而每一个动作都会被静默地记录和分析。 ## 主要特性 ### 支持 20 多个命令的交互式 Shell ``` ls / ls -la ps aux ip addr cd ifconfig netstat -tulpn cat find wget / curl whoami sudo ssh uname hostname python3 ``` ### 逼真的虚拟文件系统 包含具有说服力内容的完整 Linux 目录树: - 带有虚假用户的 `/etc/passwd` - 包含内部服务器 IP 的 `/etc/hosts` - 包含数据库凭据的 `/home/PC/.env` - 带有访问历史记录的 `/var/log/auth.log` - 包含 API 密钥的 `/opt/app/config.yaml` ### Honeytoken — `secret_vault` 被锁定的目录,会显示一个虚假的 bcrypt 哈希值,以诱使攻击者浪费时间尝试解密: ``` Permission denied: secret_vault is encrypted. Access requires decryption key. Hash: $2b$14$XkJ9mNpQvRsWtYuZaAbBcDeFgHiJkLmNoPqRsTuVwXyZaAbBcDeFgH ``` ### 6 条检测规则 | 规则 | 触发条件 | |-------|---------| | `BRUTE_FORCE` | ≥ 5 次登录失败尝试 | | `PRIVILEGE_ESCALATION` | 使用 `sudo` 命令 | | `RECONNAISSANCE` | ≥ 3 次侦察命令 | | `LATERAL_MOVEMENT` | 尝试通过 `ssh` 连接到其他主机 | | `DATA_EXFILTRATION` | 访问 `.env`、`passwd`、`config.yaml` | | `HONEYTOKEN_TRIGGERED` | 任何与 `secret_vault` 的交互 | ### 攻击报告 在关闭服务器时自动生成: ``` ============================================================ HONEYPOT ATTACK ANALYSIS REPORT ============================================================ Total de IPs: 1 Alertas detectados: 10 [PRIVILEGE_ESCALATION] user: admin, severity: high [RECONNAISSANCE] ip: x.x.x.x, count: 13, severity: medium [LATERAL_MOVEMENT] command: ssh admin@192.168.1.10 [DATA_EXFILTRATION] filepath: /home/PC/.env, severity: Critical [HONEYTOKEN_TRIGGERED] command: cd secret_vault, severity: critical ``` ## 技术栈 - **Python 3.10+** - **Paramiko** — 完整的 SSH 协议实现 - **bcrypt** — 密码哈希,支持从明文自动迁移 - **Rate Limiter** — 基于 IP 的封锁 - **Threat Intelligence** — 本地恶意 IP 库 ## 安装说明 ``` git clone https://github.com/mateusdias96cs/honeypot-ssh.git cd honeypot-ssh pip install -r requirements.txt python3 main.py ``` ## 测试 ``` # 以攻击者身份连接 ssh -p 2222 admin@ # 密码: admin123 ``` ## 免责声明 本工具仅限于教育目的、经授权的安全研究以及受控的实验室环境使用。未经事先授权,请勿在公共网络中使用。 ## 许可证 MIT License — 详见 [LICENSE](LICENSE) 文件。 ## 作者 **Mateus Dias** — 网络安全专业学生 | Blue Team ## 更新 本项目已于 2025 年 5 月完成审查和验证。 [![GitHub](https://img.shields.io/badge/GitHub-mateusdias96cs-black)](https://github.com/mateusdias96cs) [![LinkedIn](https://img.shields.io/badge/LinkedIn-Mateus_Dias-0A66C2?style=for-the-badge&logo=linkedin&logoColor=white)](https://www.linkedin.com/in/mateusdiascs/)
标签:ATT&CK框架, BOF, CSV导出, EDR绕过, Honeytoken, Linux仿真, OpenSSH模拟, PFX证书, Python, SSH蜜罐, TGT, 免杀技术, 内存分配, 协议分析, 威胁情报, 开发者工具, 攻击检测, 攻防演练, 数据窃取, 无后门, 暴力破解检测, 权限提升, 横向移动, 欺骗防御, 红队行动, 编程规范, 网络安全, 网络安全审计, 虚拟文件系统, 进程注入, 逆向工具, 隐私保护, 高交互蜜罐, 黑客诱捕