Proje adını Honeypot sistemlerden alıyor. HoneyTEA projem ise benzer bir mantıkla çalışıyor. Bloguma gelen her istek, server üzerinde log dosyalarına kayıt oluyor. Bilerek bıraktığım Honeypot (sahte açıklıklar) dosyaları ve klasörlerine gelen istekler de yine serverim üzerinde access.log dosyasına yazılıyor.
HoneyTEA projemi ise birkaç text ve bash scriptinden oluşturdum. Bu bash scriptleri serverimde belirli zaman aralıklarında çalışıyor ve çalıştığı zaman bloguma gelen isteklerin kayıt olduğu access.log dosyasını okuyor. Bash dosyalarının yanı sıra bir ayar dosyası oluşturarak HoneyTEA’ye sahte açıklıkları belirttim.
HoneyTEA çalıştığı zaman accesss.log dosyası içerisinde bu dosyalara gelen istekleri arıyor. Bulduğu zamana isteği gönderen kişinin ip adresini alıyor ve başka bir dosyaya (blacklist.dat) yazdırıyorum.
Sonrasında script saldırgan kişilerin ip adreslerinin yer aldığı blacklist.dat dosyasını okuyor ve bu dosya içerisindeki ip adreslerini Cloudflare API’sini kullanarak CloudFlare üzerinde bloke ediyor. Ardından HoneyTEA işlemini tamamlayarak en başa dönerek dinleme moduna dönüyor. Belirli bir zaman bu ipleri blokede tuttuktan sonra CloudFlare Apisi kullanarak blokeleri kaldırıyor.
Server loglarım + honeypot tuzaklarım + Cloudflare’yi birleştirerek birkaç bash script ile bu sistemi yazdım. Geliştirmek isterseniz Github hesabımda bol bol yorum bol bol fork yapabilirsiniz. Eleştirilere ve önerilerinize de her zaman açığım. Bu projeyi de açık kod olarak yayınlamak ve benim gibi saldırılardan illallah etmiş herkese bir nebze faydalı olmaktır amacım…
Projeyi birkaç güne kadar yayınlayacağım. Şu an tespit ettiğim bir tane hatayı düzeltmek için çırpınıyorum. Proje detayları için blog yazımı okuyabilirsiniz.