搭建了个蜜罐系统，搜集了很多病毒和攻击模式样本，有什么利益最大化的方式呢？

@Kirkcong #39
New connection: 103.248.238.162:57240 (103.248.229.141:23) [session: efaa9997be4b]
login attempt [admin/123456] succeeded
enable
system
shell
sh
cat /proc/mounts; /bin/busybox ZJIAP
Connection lost after 32 seconds
就类似这种的恶意命令，我整理了一大堆

@PROJECT #34 我看笑了，好有毅力~~

随便找个站长的工具也能批量查啊。https://ip.tool.chinaz.com/ipbatch

可以用攻击数据建立一个情报中心

@PROJECT #40 完全没有任何意义，字典到处都是，kali linux 内置了很多常用字典，并且自带字典生成器。至于这些命令也毫无价值，kali 也可以生成这些。这些方法都是小时候玩的不带老玩的，没什么新奇的。

简单来说，你能在这种级别捕获到的，都是程序自动生成、肉鸡自动执行的烂大街脚本。

由于全球 ip 是动态的，你获取的 ip 没有任何意义。当你抓的时间够长，可以覆盖全球大部分流动 ip 。要么是无辜的肉鸡，要么是恶意套取的 vps 。肉鸡的家宽都动态变化的，指不定明天给了谁，在国内 nat 大内网的前提下，敢用 ip 封禁的，一 ban 就一堆人。至于商宽，你能做的最多就是去对应商家举报，然后他们下架用户对应的机器，脚本小子再套一堆免费鸡换个 ip 重来，完全没意义。

谷歌搜索 ip 质量检测器可以找到一堆，这些都是根据以往历史和当前服务器状况进行评估的，有的严格有的松，他们内部有各种渠道获取/评估某个 ip 的质量。你这抓到的东西误判率极高，完全是负资产。各大安全实验室都有自己设计的蜜罐，对于捕获什么类型的，怎么过滤，重点关注什么，哪些特征不常见，部署在哪些节点、什么时间、部署数量，这些都有深入研究，你的这些内容和录制的大自然白噪音没有任何区别。

至于楼上说的什么抓 0day ，首先，手里有 0day 的人，都是定向攻击目标的，不可能群扫然后随便用掉，其次，即便真有 0day ，恕我直言，op 不可能有能力去识别、分析的。

@sevenyangcc #42 这个有数量限制，而且出来的结果，100 个一次，而且还得手动一条一条复制到表格里。
批量一次 5000 的话要收费，还挺贵

@PROJECT #41

enable
system
shell
sh
cat /proc/mounts; /bin/busybox ZJIAP

你列出的命令，都是 Linux 中常见的不能再常见的最最最基础的命令，完全不是什么恶意命令。enable 用于自启动某个服务，比如 systemctl enable mysqld ，shell 是 Linux 执行命令的地方，sh 是一种解释器，类似于 bash ，每个机器上都有，cat /proc/mounts 用于查看机器挂载了什么内容，/bin/busybox 是个简易的 Linux shell 环境，几乎所有嵌入式设备都有，包括你的路由器，安卓/苹果手机，电视，音响。


举个例子，Windows 中对着文件夹右击删除，可以删除某个文件或者目录，然而你家小孩也可以按照同样的命令（方法）把你重要文件删了。

@PROJECT #41 至于 op 所认为的那种恶意指令的核心，这东西你拿不到的，人家用 perl 混淆一下，运行后机器能执行对应操作，但人类不可读，并且无法转为人类可读内容。

举个例子，宏观层面执行 把桌上的白色杯子移动到右边。这个操作混淆后变为：将桌面上（ x,y,z ）位置的原子使用 fx 函数计算新的坐标，通过 f1x 函数对其进行处理，使其原子和电子进行多次移动互换，然后通过氧化反应将分子 A 转为分子 B ，之后通过 f2x 函数将 B 分子还原为 A 分子。以上操作仅用了切片、移动和转换三种方式进行混淆，没有人能知道具体做了什么，但同样能达到 把桌上的白色杯子移动到右边 的作用。

@Kirkcong #46 啊，chatgpt 告诉我这是黑 lot 设备的命令。嵌入式路由器也是这个命令黑

没啥意义。。。

@PROJECT #48 是的呢，没用的废话。。

rm -rf /*也可以破坏整个文件系统，使用与全球所有的 linux 类设备，包括洗衣机，智能电视，路由器，手机，电脑，服务器，全部适用。

同样的，把利器插入人心脏会导致人体死亡，这适用于全世界所有人类，致死率 100%，知道了这个意味着你能以此威胁全人类么？显现没什么用。

难的不是登陆进去后做什么，而是怎么黑进去。

@Kirkcong #50 没事我还收集了挺多病毒的，快 300 多个了

没有啥意义，如果能找到 0day 最值钱，攻击恶意 IP ，你可以去看微步在线或者 360 情报库。

除了抓到 0day 几乎没啥用，基本安全厂家在互联网已经有各种蜜罐了。
搞个护网封建名单，或许还行。

你开心就好，楼上说得专业又中肯，你这一点听不进去，既然不听，那还发帖求助干嘛呢
@PROJECT #51

@PROJECT #51 加油

看界面像 GitHub 上面的开源蜜罐，抓到 0day 的概率基本为 0 。不过可以学习下别人的挖矿木马怎么写，还挺有意思，哈哈。

@kir4 #56 微步的蜜罐系统

我之前就是在 TOP 安全公司做蜜罐的，而且是从 0 开始的核心设计+研发
这种数据没什么价值，因为没有稀缺性，任何人在公网上部署一个都可以收集到，而且 IP 能到百万级别。
甚至蜜罐对于客户来说，这些都是垃圾数据，都是自动化的机器人。
现在客户对于蜜罐的要求是能抓到真人才叫有效果。
第一种是反制到
例如：通过漏洞反制、钓鱼，将攻击者的微信号，手机号，设备详细信息、屏幕截图获取到。
还有一种是骗到攻击者
例如：诱骗真实的攻击者，不是脚本，针对蜜罐进行攻击，并且诱导攻破后，又对虚拟密网横向扩展攻击，最终抓到整个攻击拓扑，横向的攻击流量，攻击武器。
重点是真实的攻击者

这些是两年多前的说法，现在可能有更高的要求了，例如结合 AI 等。
如果你能分辨出来这里面的 IP 哪些是真人在攻击的，就是有价值的。

从业人员告诉你 这都是自动化的探测、利用手段，你拿到了也是没什么鸟用的东西
要是对安全感兴趣可以先从渗透测试开始，搞这些自己都不知道是什么东西的东西，还想要利益
这很难评，祝你成功吧

呃呃呃 发微步得了呗