nawidtechlabs/honeypot-lab

# 蜜罐实验室 — 实时威胁情报 ## 概述 在Vultr VPS（Ubuntu 22.04，8GB内存）上部署的实时T-Pot蜜罐，收集来自全球威胁行为者的真实攻击数据。本项目记录每日威胁情报发现，包括通过Shodan、Censys、AFRINIC和AbuseIPDB进行的IOC丰富化分析。 **3天内捕获超过222,000次攻击。** ## 基础设施 - **平台：** Vultr VPS — 新泽西 - **操作系统：** Ubuntu 22.04 - **蜜罐：** T-Pot CE（多蜜罐平台） - **内存：** 8GB - **存储：** 160GB SSD ## 运行的蜜罐服务 | 蜜罐 | 用途 | |---|---| | Honeytrap | 通用端口扫描检测 | | Cowrie | SSH/Telnet暴力破解捕获 | | Dionaea | 恶意软件与漏洞利用捕获 | | Sentrypeer | VoIP/SIP扫描检测 | | Mailoney | SMTP滥用检测 | | Heralding | 凭证窃取检测 | ## 攻击摘要 — 第3天（2026年5月20日） - **总攻击数：** 222,000+ - **最高命中蜜罐：** Honeytrap — 195k次命中 - **最高攻击ASN：** AS49870 Alsycon B.V. — 178,498次命中 - **活跃CVE：** 检测到CVE-2020-11漏洞利用尝试 ## IOC丰富化 — 主要攻击者 **IP：** 160.119.76.4 **命中次数：** 24小时内146,549次 **ISP：** HostUS Solutions LLC **ASN：** AS49870 **位置：** 荷兰 **操作系统：** CentOS Linux **开放端口：** 22/SSH, 80/HTTP, 443/HTTP **AbuseIPDB：** 110次报告 — 100%滥用置信度 **证书：** 带占位符值的自签名证书 **判定：** 租用的VPS攻击基础设施 **已通过以下平台验证：** - Censys - AFRINIC（官方注册机构） - AbuseIPDB ## 使用的工具 - T-Pot CE - Kibana / Elasticsearch - Shodan - Censys - AFRINIC - AbuseIPDB - Talos Intelligence ## 后续步骤 - 使用Python自动化IOC丰富化 - 部署Galah LLM驱动的蜜罐 - 设置Wazuh进行集中日志分析 - 自动向托管服务商报告恶意基础设施

标签：越狱测试, 逆向工具