Uso de Comando hb-honeypot

 

https://www.onlinetis.com 

Uso de Comando hb-honeypot

El comando hb-honeypot suele estar asociado a herramientas de ciberseguridad (como HellPot o implementaciones específicas de Honeypots de alta interacción) diseñadas para engañar a atacantes o bots, consumiendo sus recursos o registrando su actividad.

Aquí tienes una guía práctica para entender cómo funciona y cómo desplegarlo.

1. ¿Qué es un Honeypot?

Un honeypot (tarro de miel) es un sistema trampa configurado para ser detectado y atacado. Su objetivo no es brindar un servicio real, sino:

  • Distraer a los atacantes de los objetivos reales.

  • Analizar las técnicas y direcciones IP de los atacantes.

  • Agotar los recursos de los bots (en el caso de honeypots tipo "túnel de escape").

2. Instalación General

La mayoría de estas herramientas se basan en Go o se instalan vía repositorios de seguridad. Si estás usando una distribución tipo Kali Linux o Parrot OS, asegúrate de tener las dependencias listas:

Bash
# Ejemplo de descarga (si usas un binario de GitHub)
wget https://github.com/usuario/proyecto/releases/download/v1.0/hb-honeypot
chmod +x hb-honeypot
sudo mv hb-honeypot /usr/local/bin/

3. Comandos y Uso Común

Aunque las banderas pueden variar según la versión exacta, la estructura suele ser la siguiente:

A. Inicio Básico

Para lanzar el honeypot en un puerto específico (por ejemplo, el 8080):

hb-honeypot --port 8080

B. Configuración de Simulación

Puedes definir qué tipo de "apariencia" tendrá tu trampa:

  • Modo HTTP: Para atrapar bots que buscan vulnerabilidades web.

  • Modo SSH: Para registrar intentos de fuerza bruta.

C. Registro de Logs (Escencial)

Para guardar la actividad de los atacantes en un archivo para su posterior análisis:

hb-honeypot --port 80 --log /var/log/honeypot.log

4. Tabla de Parámetros Frecuentes

ParámetroDescripciónEjemplo
--portDefine el puerto de escucha.--port 22
--configCarga un archivo de configuración .toml o .yaml.--config setup.yaml
--addressDefine la IP local (útil para interfaces específicas).--address 0.0.0.0
--verboseMuestra detalles en tiempo real de las conexiones.-v

5. Recomendaciones de Seguridad

Nota importante: Nunca corras un honeypot en tu red principal sin aislamiento. Un honeypot mal configurado podría servir de puente para que un atacante salte a otros equipos de tu casa u oficina.

  • Usa una VM o VPS: Despliega el comando en un entorno controlado.

  • Aislamiento de red: Asegúrate de que el honeypot no tenga privilegios para acceder a tu base de datos o archivos sensibles.

  • Firewall: Configura las reglas de red para que solo el puerto del honeypot esté expuesto.

Para simular un servidor vulnerable de manera efectiva, lo ideal es configurar el honeypot para que responda a peticiones comunes que los bots y atacantes suelen buscar (como paneles de administración, archivos de configuración expuestos o rutas de bases de datos).

Aquí tienes una guía de cómo estructurar esa configuración y qué elementos "cebo" deberías incluir.

1. Estructura de un archivo de configuración (config.yaml)

Si tu herramienta utiliza un archivo de configuración (común en herramientas como hb-honeypot o similares basadas en YAML), esta es la estructura recomendada para maximizar la "atracción":

YAML
server:
  port: 80                  # Puerto estándar HTTP para atraer bots
  banner: "Apache/2.4.41 (Ubuntu)" # Fingir una versión específica de servidor
  listen_address: "0.0.0.0"

vulnerabilities:
  - path: "/admin"          # Simula un panel de administración
    response_code: 200
    template: "login.html"
  - path: "/.env"           # Simula exposición de variables de entorno
    response_code: 200
    content: "DB_PASSWORD=admin1234\nSECRET_KEY=dh82u3h8d..."
  - path: "/wp-login.php"   # Simula un sitio WordPress (objetivo muy común)
    response_code: 200

logging:
  level: "verbose"
  destination: "/var/log/honeypot_activity.log"
  capture_payload: true     # Captura lo que el atacante intenta inyectar

2. Puntos clave para una simulación creíble

Para que un atacante muerda el anzuelo, el servidor debe parecer "olvidado" o mal configurado. Aquí te detallo qué simular:

A. Simulación de Directorios Sensibles

Los atacantes usan herramientas de escaneo (como Dirbuster o Ffuf). Debes configurar respuestas positivas para rutas como:

  • /.git/config (Simula un repositorio expuesto).

  • /phpmyadmin/ (Simula gestión de base de datos).

  • /backup.sql o /config.php.bak.

B. Headers de Respuesta (Banners)

No dejes que el honeypot se identifique como tal. Cambia el encabezado Server para que parezca un sistema real:

  • Creíble: Server: Microsoft-IIS/10.0 o Server: nginx/1.18.0.

  • Error común: Dejar el header por defecto que dice Honeypot-v1.0.

3. Implementación con Docker (Aislamiento Total)

La forma más segura de correr este comando y simular la vulnerabilidad sin poner en riesgo tu sistema real es mediante un contenedor. Crea un Dockerfile simple:

Dockerfile
FROM alpine:latest
# Instalación de la herramienta (ejemplo genérico)
RUN apk add --no-cache bash
COPY hb-honeypot /usr/bin/hb-honeypot
COPY config.yaml /etc/honeypot/config.yaml

# Exponer el puerto que simulará la vulnerabilidad
EXPOSE 80

CMD ["hb-honeypot", "--config", "/etc/honeypot/config.yaml"]

4. ¿Qué observar en los logs?

Una vez que el servidor esté activo, busca estos patrones en tu archivo de logs:

  1. User-Agents sospechosos: Como nmap, sqlmap o python-requests.

  2. Payloads de Inyección: Intentos de meter código como ' OR 1=1 -- en los formularios simulados.

  3. IPs recurrentes: Direcciones que escanean todo el rango de puertos en poco tiempo.

Advertencia: Si expones este servidor a internet (port forwarding), asegúrate de que la máquina que lo aloja esté en una DMZ (Zona Desmilitarizada) para que, si el atacante logra "romper" el honeypot, no pueda ver tus otros dispositivos (computadoras personales, celulares, etc.).

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »