azmogoo/phantom

# phantom 用 Go 编写的轻量级 SSH 和 HTTP 蜜罐。事件以 JSON 行的形式存储，并通过简单的评分按远程 IP 进行汇总。 ## 构建 ``` make build ``` ## 用法 启动两个监听器（默认值：SSH `:2222`，HTTP `:8080`）： ``` ./bin/phantom serve ``` 从事件日志中输出一份关联报告： ``` ./bin/phantom report ``` JSON 输出： ``` ./bin/phantom report -format json ``` 环境变量 `PHANTOM_LOG` 会覆盖默认的日志路径（`data/events.jsonl`）。 ## 评分 每个 IP 都会获得一个标签： - `ssh` — 仅有 SSH 活动 - `http` — 仅有 HTTP 活动 - `mixed` — 同时具有 SSH 和 HTTP 活动（在评分中权重更高） 分数会对 IP 进行排序，以便在 `report` 命令中进行分诊。

标签：ADCS攻击, CISA项目, Go, Homebrew安装, Ruby工具, 内存分配, 威胁情报, 安全, 开发者工具, 日志审计, 蜜罐, 证书利用, 超时处理