Honeypot-Server
Ein Open-Source-Honeypot-Server, der Angriffe erkennt und automatisch Bedrohungsdaten an die ReportedIP übermittelt. Setzen Sie ihn in Ihrer Infrastruktur ein, um Angreifer abzufangen, bevor sie Ihre eigentlichen Systeme erreichen.
Was ist ein Honeypot?
Ein Honeypot ist ein Ködersystem, das dazu dient, Angreifer anzulocken und aufzuspüren. Es ahmt echte Dienste nach, hat jedoch keinen legitimen Zweck – jede Interaktion damit ist von Natur aus verdächtig.
Der ReportedIP emuliert anfällige CMS-Installationen, um böswillige IP-Adressen zu identifizieren. Wenn ein Angreifer einen Brute-Force-Anmeldeversuch unternimmt, nach bekannten Exploits sucht oder nach Sicherheitslücken scannt, erfasst der Honeypot die Quell-IP und die Angriffsdetails und meldet diese automatisch an die ReportedIP .
CMS-Emulation
Der Honeypot-Server simuliert Anmeldeseiten und Administrationsbereiche beliebter Content-Management-Systeme. Angreifer, die Brute-Force- oder Exploit-Angriffe versuchen, werden sofort erkannt und gemeldet.
| CMS | Emulierte Pfade | Erkennung |
|---|---|---|
| WordPress | /wp-login.php, /wp-admin/, /xmlrpc.php |
Brute-Force-Angriffe auf den Login, Missbrauch von XML-RPC, Ausnutzung von Plugin-Sicherheitslücken |
| Drupal | /user/login, /admin/ |
Anmeldeversuche, Drupalgeddon-Signaturen |
| Joomla | /administrator/, /index.php/component/users/ |
Brute-Force-Angriffe auf das Admin-System, Ausnutzung von Sicherheitslücken in Komponenten |
Bedrohungsanalysatoren
Der Honeypot verfügt über 36 integrierte Analysatoren, die jede eingehende Anfrage auf bekannte Angriffsmuster und -techniken überprüfen:
| Analysator | Beschreibung |
|---|---|
| Erkennung von Brute-Force-Angriffen | Erkennt wiederholte Anmeldeversuche von derselben Quelle |
| SQL-Injection | Erkennt SQL-Injection-Payloads in Parametern und Headern |
| XSS-Payloads | Erkennt Cross-Site-Scripting-Versuche in Anfragedaten |
| Pfaddurchlauf | Erkennt Verzeichnisüberquerungssequenzen (../, ..\\) |
| Bekannte Exploit-Signaturen | Gleicht Anfragen mit einer Datenbank bekannter CVE-Exploits ab |
| Credential Stuffing | Erkennt automatisierte Anmeldeversuche mit verschiedenen Benutzernamen-Passwort-Kombinationen |
| Verzeichnisaufzählung | Ermittelt systematische Suchvorgänge nach sensiblen Dateien und Verzeichnissen |
| Missbrauch von XML-RPC | Erkennt Pingback-Amplifikation und Brute-Force-Angriffe über XML-RPC |
Automatische Berichterstellung
Jeder erkannte Angriff wird automatisch und ohne manuellen Eingriff an die ReportedIP gemeldet. Jeder Bericht enthält:
- Quell-IP – die IP-Adresse des Angreifers
- Angriffstyp – das erkannte spezifische Angriffsmuster
- Kategorie-ID – einer der 30 vordefinierten Bedrohungskategorien zugeordnet
- Zeitstempel – genauer Zeitpunkt jedes Angriffsvorfalls
Auswirkungen auf den Vertrauensindex
Honeypot-Meldungen haben im Reputationssystem besonderes Gewicht, da sie bestätigte böswillige Aktivitäten darstellen – es gibt keinen legitimen Grund, mit einem Honeypot zu interagieren. Das System wendet zusätzlich zur Basis-Vertrauensbewertung einen speziellen Honeypot-Bonus an.
| Vorteil | Details |
|---|---|
| Honeypot-Bonus | Bis zu +25 Punkte werden zum Vertrauenswert hinzugefügt |
| Reduzierte Zeitdämpfung | Berichte bleiben länger aktuell; die Honeypot-Quote verringert den Verfallsfaktor |
| Höheres Vertrauensgewicht | Honeypot-Meldungen werden mit honeypot_report_weight_multiplier (Standard: 2.0x) |
| Mindestvertrauen | Bei ≥2 Honeypot-Meldungen ist eine Zuverlässigkeit von mindestens 25 % gewährleistet |
Honeypot-Bonusformel
base_bonus = honeypot_count * base_bonus_per_report
# Diversity requirement
diversity_factor = min(unique_reporters / diversity_divisor, 1.0)
base_bonus = base_bonus * diversity_factor
# Single reporter penalty (if > 5 honeypot reports & only 1 reporter)
if honeypot_reports > threshold AND unique_reporters == 1:
penalty = 10
final_bonus = min(base_bonus - penalty, 25)
# Time dampening reduction
honeypot_ratio = honeypot_reports_count / report_count
dampening_reduction = honeypot_ratio * 0.5
time_dampening_factor = min(1.0, time_dampening_factor + dampening_reduction)Installation
Docker (empfohlen)
Der schnellste Weg, um loszulegen. Laden Sie das offizielle Image herunter und führen Sie es mit Ihrem API-Schlüssel aus:
docker run -d \
--name reportedip-honeypot \
-e API_KEY="your-api-key-here" \
-e API_ENDPOINT="https://reportedip.de/wp-json/reportedip/v2/" \
-p 8080:8080 \
ghcr.io/reportedip/honeypot-server:latestManuelle Einrichtung
Klonen Sie das Repository und installieren Sie die Abhängigkeiten manuell:
git clone https://github.com/reportedip/honeypot-server.git
cd honeypot-server
# Install dependencies
npm install
# Configure environment
cp .env.example .env
# Edit .env with your API key and settings
# Start the server
npm startKonfiguration
Konfigurieren Sie den Honeypot-Server mithilfe von Umgebungsvariablen. Diese können in Ihrer
.env Datei oder direkt an Docker übergeben.
| Variable | Standard | Beschreibung |
|---|---|---|
API_KEY |
— | Ihr ReportedIP (erforderlich). Verwenden Sie einen Schlüssel mit der Rolle „Honeypot“, um uneingeschränkte Berichterstellung zu nutzen. |
API_ENDPOINT |
https://reportedip.de/wp-json/reportedip/v2/ |
Basis-URL ReportedIP . |
LOG_LEVEL |
info |
Protokollierungsausführlichkeit. Optionen: info, debug, warn. |
EMULATED_CMS |
wordpress,drupal,joomla |
Durch Kommas getrennte Liste der nachzubildenden CMS-Plattformen. |
PORT |
8080 |
Der Port, auf dem der Honeypot-Server lauscht. |
GitHub-Repository
Der Honeypot-Server ist vollständig Open Source. Beiträge, Fehlermeldungen und Feature-Anfragen sind willkommen.