Das High-Interaction-Honeypot-Projekt bietet einen tiefgehenden Einblick in reale Cyberangriffe. Statt Angriffe nur von außen zu erkennen, analysiert das Projekt die tatsächlichen Befehle, Techniken und Vorgehensweisen der Angreifer im Detail.
Sämtliche Aktivitäten werden aufgezeichnet, ausgewertet und anschaulich visualisiert. Mithilfe von Asciinema-Aufzeichnungen und umfassenden Systemlogs wird das Verhalten der Angreifer dokumentiert und in Live-Sessions wiedergegeben.
So erhalten Interessierte einen transparenten Überblick über reale Angriffsszenarien und können Live-Hacking beobachten – sicher und ohne Risiko für die eigene Infrastruktur.
Das Projekt entstand im Rahmen eines Bachelor-Praxisprojekts und wurde mithilfe von Docker technisch umgesetzt. Die gesammelten Daten stehen auf Anfrage gerne für Forschungs- und Analysezwecke zur Verfügung.
Gemessen wurde vom 17.10.2025 bis zum 02.12.2025.
Login-Versuche insgesamt
3.868 erfolgreich
Aktive Sessions aufgezeichnet
Interaktive Handlungen beobachtet
Es wurden insgesamt 41 interaktive Sessions aufgenommen von denen hier 4 relevante dargestellt werden.
Ein Angreifer versucht, sich einen Überblick über das System zu verschaffen.
Ausführen eines bösartigen Payloads von einem entfernten Server.
Ein Angreifer versucht, über wget Payload runterzuladen.
Ein Angreifer liest vorhandene Ordner aus.
Es wurden einige Dateien im Honeypot erstellt sowie verändert - hier sind exemplarisch 3 dieser Dateien dargestellt.
Die Datei entpackt versteckten Code direkt im Arbeitsspeicher und führt ihn ohne Spuren auf der Festplatte aus, was typisch für Malware ist, die unentdeckt bleiben will.
Versteckte Cache- oder Steuerdatei, die von einem kompromittierten Prozess genutzt wird, um Konfigurationsdaten, Statusinformationen oder Befehle zwischenzuspeichern.
UPX-gepackte Linux-ELF-Datei, die sich beim Start selbst entpackt und ihren Payload direkt im Arbeitsspeicher ausführt. Nutzt speicherbasierte Ausführungstechniken zur Umgehung von Dateisystem- und Signaturerkennung und wird mit Cryptomining- und Trojaner-Aktivitäten in Verbindung gebracht.
Disclaimer: Assumed Locations affected through VPNs