HFish开源蜜罐系统常见问题排查
HFish开源蜜罐系统常见问题排查
HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。
HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性,帮助用户降低运维成本,提升运营效率。
在HFish中,管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击。
在最小化测试的情况,您可以直接通过安装管理端,通过管理端内的内置节点,直接进行蜜罐服务测试。
server端问题
1.部署完成后,web页面打不开
解决办法:
1、确认浏览器访问地址是 https://[server]:4433/web/,注意不可缺少“/web/”这个路径
2、确认管理端进程的运行情况和TCP/4433端口开放情况,如果不正常需要重启管理端进程
检查 hfish-server的进程是否运行正常
ps ax | grep ./hfish | grep -v grep
#检查TCP/4433端口是否正常开放
ss -ntpl
3、检查管理端主机是否开启了防火墙,必要情况,考虑关闭防火墙
#centos7 检查防火墙状态
systemctl status firewalld
#centos7 检查防火墙开放端口
firewall-cmd --list-ports
4、Linux环境使用date命令确认系统时间的准确
5、如果以上都没有问题,请检查server和client日志
- 节点端日志在安装目录的logs文件夹内,文件名为client.log
- Linux管理端日志在/usr/share/hfish/log文件夹内,文件名为server.log
- Windows管理端日志在C:\Users\Public\hfish\log文件夹内,文件名为server.log
节点问题
1.节点状态为红色离线
解决办法:
1、检查节点到管理端的网络连通情况,以下是几种常见情况
节点每60秒连接管理端的TCP/4434端口一次,180秒内连接不上即显示为离线。
刚完成部署或网络不稳定的时候会出现显示为离线。
通常情况,等待2~3分钟,如果节点恢复绿色在线,那蜜罐服务也会从绿色启用,变成绿色在线。
2、如果确认网络访问正常,节点在管理端上始终离线,需要检查节点上的进程运行情况。如果进程运行异常,需要杀死全部关联进程后,重启进程,并记录错误日志。
#检查./client的进程是否运行正常
ps ax | grep -E ‘services|./client’ | grep -v grep
3、如果以上都没有问题,请检查server和client日志
节点端日志在安装目录的logs目录内,文件名为client.log
Linux管理端日志在/usr/share/hfish/log文件夹内,文件名为server.log
Linux管理端日志在C:\Users\Public\hfish\log文件夹内,文件名为server.log
Linux节点端后台运行方案:
nohup .~/client >>nohup.out 2>&1 &
Linux开机自启动方案
echo ‘nohup .~/client >>nohup.out 2>&1 &’ >> /etc/rc.local
Linux定时任务方案
echo ‘* * * * * nohup .~/client >>nohup.out 2>&1 &’ >> /var/spool/cron/crontabs/root
蜜罐服务问题
1.节点在线、部分蜜罐服务在线,部分离线。
可通过触碰状态旁边的问号,确认离线原因。
解决办法:
该报错情况往往是因为端口冲突
这个问题常见默认22端口的SSH服务,刚启动client的时候服务在线,过了一会儿后服务离线。
使用ss -ntpl命令检查该蜜罐服务的端口是否被占用?如果被占用,建议修改该业务的默认端口。
Windows操作系统上,如果用户启用了tcp端口监听,大概率会发现TCP 135、139、445、3389端口冲突,
这是用于Windows默认占用了这些端口,不建议在Windows上监听TCP 135、139、445、3389端口。
Linux操作系统端口冲突解决方案:
lsof -i:[port]
kill [pin]
重新启用该端口的蜜罐
2.变更服务模板后,蜜罐新服务访问不了。
在HFish当前的产品结构中,管理端永远不会主动连接节点进行节点配置的变更。
管理端仅负责生成一个配置,等待节点每60秒尝试连接管理端拉取。
蜜罐服务被攻击的结果,会实时上报到管理端。
已被发现或反馈的问题
1、经过测试,由于华为鲲鹏920 ARM aarch64架构CPU无法向下兼容aarch32,HFish暂时无法在该CPU上运行;
2、HFish作为一款安全类的诱捕软件,其部分权限可能会跟本地杀毒软件有冲突。这是蜜罐类产品的正常特性,我们建议蜜罐机器暂时关停杀毒软件或设置杀毒软件将HFish加为白名单,当前已知冲突:卡巴斯基;
3、HFish管理端Windows版本分发蜜饵推荐用户使用了Windows自带的certutil程序,该方法可能会导致Windows自带的默认配置的杀毒软件Windows Defender告警,并导致certutil执行失败,建议分发前在“病毒和威胁防护设置”中暂时关闭实时保护,或使用手动下载方式部署蜜饵;
4、当前所有版本升级到2.7.0版本并不支持页面点击,使用V2.5.x和V2.6.x版本的用户可以查看 https://hfish.net/#/update ,按照指引进行升级,可实现数据顺滑迁移;
5、2.7.0版本中使用MySQL数据库时,如果用户使用的MySQL密码还有特殊字符会导致无法连接,建议暂时使用字符和数字的组合当密码,该问题将在下个版本修复;
6、2.6.2添加的Linux节点升级到2.7.0后,从该Linux节点上拉取蜜饵会出现HTTP 404错误,内置节点和Windows节点不受影响,该问题将在下个版本修复;
7、新安装2.7.0管理端后,如果添加32位CentOS节点,该节点会崩溃,2.6.2已添加的32位CentOS节点升级到2.7.0不受影响;