Mielpops – Honeypot

Écrit par l’équipe HackGyver – Janvier 2025


Mielpops est un honeypot web inspiré d’un ancien projet français nommé pot2miel. Entièrement réécrit par le hackerspace,
il ne partage plus aucune base de code ni structure avec ce dernier.

L’objectif de Mielpops est de piéger à la fois les bots et les humains en quête de fichiers malveillants ou de vulnérabilités sur
nos serveurs.
Pour cela, Mielpops déploie un large éventail de pages leurres: plus de 50 fausses backdoors, des pages de mailers, des
hacktools simulés, etc.
Mielpops garde une trace de toutes les requêtes envoyées vers ces pages (POST et GET), et enregistre en toute sécurité les
fichiers que les attaquants essaient de déposer.

Le honeypot intègre également de fausses applications populaires telles que phpMyAdmin ou WordPress, conçues
spécifiquement pour attirer et observer les tentatives d’exploitation.

1: L'interface de Mielpops


L’interface de lecture des logs propose une option pour protéger l’application par mot de passe, ou bien de la laisser
en accès public.
Pour des raisons de sécurité, le fichier peut aussi être renommé sans problème par exemple en "MonMielpop.php"
ou ce que vous voulez.

Le login:

PCB2


La page d'accueil après login:

PCB2


Mielpops et multilingue Anglais/Français, deux petits drapeaux dans le coin en haut à droite permet de changer la langue.
Ensuite on retrouve les boutons: un accès rapide aux fichiers hostiles, et aux exports de flux.
Juste en dessous: le champ de recherche, il fonctionne par IP, Pays, User-agent, Chemin, et permet aussi de géré le nombre de colonnes a affiché par page.
Ensuite on a le tableau principal de lecture des logs.
Si votre pointeur reste fixe sous une IP, elle affichera l’host de celle-ci, et si c'est sous l'user-agent vous verrez l'user-agent complet.

PCB2


Cliquer sur l'icône "🔍" permet de développer les détails d'un log s’il y en a. (requête POST, et upload) Les données sont affichées au format JSON.

PCB2


L'icône "🔁" permet d'identifier les doublons de fichier malveillant reçus.

PCB2


Puis les statistiques, les graphiques sont interactifs.

PCB2


Si l'option est activée sur l'instance, le honeypot permet aussi d'envoyer une alerte en temps réel via Telegram lorsqu’un attaquant accède à une trappe.

PCB2


Créé des pages de trappe tiens en 5 lignes de PHP:

<?php
require_once(&apos;MielPops_inc/config.php&apos;);
require_once(&apos;MielPops_inc/functions.php&apos;);
insert_log();
?>


Ce qui permet d'ajouter facilement des pages et de faire des mises à jour sans avoir a modifié une par une toutes les pages.


2: Mielpops VS les attaques automatisées


Voici quelques démonstrations de hacktools trouvé sur GitHub contre Mielpops.
Essaye de WP-Brute, un outil contre Wordpress qui récupère la liste des utilisateurs, lance une attaque par force brute à l’aide d’un dictionnaire, puis tente d’auto-uploader une backdoor via les thèmes ou les plugins.
Toute l’activité sur les fichiers a été interceptée par Mielpops, tandis que WP-Brute de son côté, croit avoir réussi son exploitation.

PCB2


WP-Upshell est un autre outil conçu pour uploader des backdoors sur WordPress. Là encore, toutes les tentatives d’upload de fichiers malveillants ont été parfaitement interceptées par Mielpops.

PCB2


Un autre script d’upload WordPress, "Malicious", réalise à distance l’upload d’un reverse shell PHP.
Là encore, l’ensemble de l’activité a été détecté et enregistré par Mielpops.

PCB2



3: Fausses pages


Si un utilisateur tente la combinaison "admin:admin" dans wp-login.php, il rentrera dans un faux panel d'administration wordpress, toutes les pages sont imitées et l'activité enregistrée.

PCB2


Pour les plus de 50 fausses backdoors de mielpops il est possible de personnaliser quelques détails dans celle-ci comme par exemple l'uname, l’host, l'adresse IP du serveur compromis, le nom de domaine, des paramètres a définir en config comme pour les notifications Telegram, qui s'appliquera a toutes les faux webshells du honeypot.

PCB2


Il y a aussi des faux hacktools de déployer, par exemple PowerLoader, avec des dates "toujours fraiches" pour laisser pensé que le botnet est toujours en activité.

PCB2


Ainsi qu'un dossier ouvert volontairement, et qui laisserait suggérer qu'il est déjà compromis.

PCB2


Toutes ces fausses pages non aussi aucune dépendance, elle tienne en un fichier (image, css, js inclu) pour ne pas que le honeypot devienne n'importe quoi au niveau du système de fichier.
Le projet est amélioré au fur et à mesure de ce que nous apprenons des attaquants.


4: Pour aller plus loin


Le développement du projet nous permet aussi de partir sur d'autres sujets que l'on pense suffisamment intéressant pour que l'on puisse en parler dans d'autres articles ici:

Les managers de webshells
En quête d'outils malicieux a testé contre notre honeypot, on a dérivé a faire du cracking.

Mielpops : Cas réel d'utilisation
Une utilisation concrète de notre honeypot pour retracer une attaque.