{"id":1398,"date":"2025-10-18T05:00:16","date_gmt":"2025-10-18T05:00:16","guid":{"rendered":"https:\/\/help.peacedoorball.blog\/nl\/?p=1398"},"modified":"2025-10-18T05:00:16","modified_gmt":"2025-10-18T05:00:16","slug":"hoe-je-begrijpt-wat-een-honeypot-is","status":"publish","type":"post","link":"https:\/\/help.peacedoorball.blog\/nl\/hoe-je-begrijpt-wat-een-honeypot-is\/","title":{"rendered":"Hoe je begrijpt wat een honeypot is"},"content":{"rendered":"<p>Wanneer een server constant te maken krijgt met aanvalspogingen, vooral omdat hij rechtstreeks met het internet is verbonden zonder filters, is het onvermijdelijk dat hij wordt bestookt met allerlei geautomatiseerde onzin. Dit zijn geen gerichte aanvallen \u2013 eerder bots die grote delen van de IP-ruimte scannen, open poorten aanspreken of willekeurige payloads uitproberen om te zien of er iets interessants opduikt. Als je een openbare server draait, of het nu een website, API of wat dan ook is, zeg je in feite &#8220;kom maar op&#8221; tegen iedereen of alles dat aan het scannen is. Zo gaat dat nu eenmaal, maar gelukkig zijn er handige manieren om het die willekeurige scanners moeilijker te maken. Want natuurlijk moet Windows, Linux of welk besturingssysteem dan ook het moeilijker maken dan nodig is, toch?<\/p>\n<h2>Hoe je een eenvoudige honeypot opzet om aanvallers te vangen<\/h2>\n<h3>Methode 1: Gebruik een nep-beheerpagina of lok met een eenvoudig honeypot-script<\/h3>\n<p>Dit is vrij eenvoudig, maar effectief om de gewone scanner of scriptkiddie te pakken te krijgen. Maak in principe een nep-login of adminpaneel aan \u2013 niets bijzonders, gewoon een map zoals <strong>\/admin<\/strong> of <strong>\/wp-admin<\/strong> die er aantrekkelijk uitziet, maar eigenlijk niets doet. Stel vervolgens logging in van elk IP-adres en elke interactie die toegang probeert te krijgen. In sommige configuraties is dit slechts een kwestie van het aanmaken van de map en het plaatsen van een script dat IP-adressen en verzoeken logt in een bestand of database.<\/p>\n<p>Waarom het helpt: Het kan je direct laten zien wie er rondneust op je meest gevoelige pagina&#8217;s. Wanneer de scanner je nep-beheerderspagina bereikt, krijg je een exact IP-adres, tijdstip en misschien zelfs een user-agent. In de ene configuratie werkte het meteen, in de andere duurde het een paar pogingen, maar over het algemeen zijn deze afleidingsmanoeuvres goed in het detecteren van de geautomatiseerde scripts die je site crawlen. Zorg er wel voor dat de directory nergens anders naartoe is gelinkt, anders kunnen legitieme gebruikers er per ongeluk op stuiten. Voeg ook een opmerking toe aan je robots.txt-bestand, zoals `<!-- honeypot -- >` can dissuade bots from ignoring the trap.<\/p>\n\n \n\n<p>Expect to see automated IPs getting flagging and maybe, if you want, to automatically block them with rules in your firewall or web server config. For example, if you\u2019re using Nginx, you could add something like:<\/p>\n\n \n\n<pre><code>location \/admin { # Log attempts access_log \/var\/log\/nginx\/honeypot.log; # Block after certain number of hits, or do something else } <\/code><\/pre>\n\n \n\n<p>Just keep in mind, this isn't foolproof\u2014some smarter bots might ignore the fake pages, and legit crawlers could act weird. But it\u2019s a quick way to catch the baddies or at least see who\u2019s scanning.<\/p>\n\n \n\n<h3>Method 2: Leverage robots.txt cleverly<\/h3>\n\n \n\n<p>Most websites will have a <strong>robots.txt<\/strong> file in the root folder\u2014say, `<strong>\/robots.txt<\/strong>`.You can configure it to tell bots what not to crawl, but oddly enough, many malicious bots and scanners ignore those directives and just go straight for the sensitive stuff anyway. Still, you can use this to your advantage by placing a fake or enticing filename or directory\u2014like `<strong>\/secret-admin-area<\/strong>`\u2014and tell bots to stay away (which, of course, they usually ignore).If you make this directory look juicy but is basically a trap, anyone scanning that area is probably up to no good. Logging hits here can help identify malicious actors.<\/p>\n\n \n\n<p>Why bother? Because any interaction that happens with these honeypots can be logged easily, giving insight into attacker behavior. When someone tries to access that fake admin page, you get an IP, user agent, and request details\u2014probably with no risk of affecting your real site.<\/p>\n\n \n\n<p>Pro tip: Add some fake credentials or dummy login prompts that don\u2019t do anything\u2014just enough to lure in attackers and log their details. Be cautious to ensure these decoys aren\u2019t linked from anywhere your real users might stumble onto\u2014no accidental tripping of legit visitors.<\/p>\n\n \n\n<h3>Method 3: Improve detection with interaction-based blocking<\/h3>\n\n \n\n<p>This is a step up in sophistication. Instead of just blocking anyone who hits the honeypot page, monitor if they interact further\u2014say, by submitting a form or trying to run commands. If they do, you can automatically trigger tighter restrictions or even temporarily ban them. This makes your honeypot a better tool for grabbing serious offenders rather than just catching random scans. It\u2019s kind of a fake login page with a trap\u2014pretend to be real, but log all activity and block suspicious behavior.<\/p>\n\n \n\n<p>Why it helps: Most automated attack scripts will go straight for the fake login and try to brute-force or probe further. If you record that activity, you can analyze attack patterns or block entire ranges.<\/p>\n\n \n\n<p>One practical example: create a \"login\" form at `\/admin`, but make sure it does nothing special\u2014just logs the attempt. Then, set up a script or firewall rule (like Fail2ban) to ban IPs that submit the form multiple times. This way, you\u2019re not just passively watching\u2014you\u2019re actively responding.<\/p>\n\n \n\n<h2>Wrap-up<\/h2>\n\n \n\n<p>A honeypot isn\u2019t about stopping every attack\u2014most automated scans will ignore or get confused by simple traps. But it\u2019s a good way to identify malicious IPs and slow down scripts. The real goal is to make attackers waste their time on decoys while you gather intel or block them before they cause trouble. Just be careful not to turn your honeypots into a backdoor for legit users\u2014stuff should be hidden well and not linked from anywhere public.<\/p>\n\n \n\n<p>Sometimes, a simple fake page and logging approach is enough, other times, more advanced interaction traps work better. Either way, it\u2019s better than just letting everything slide. Plus, with logs from these setups, you can improve your overall attack response.<\/p>\n\n \n\n<h2>Summary<\/h2>\n\n \n\n<ul> \n\n<li>Set up fake admin or sensitive pages to log any hits.<\/li>\n\n \n\n<li>Use robots.txt as a bait to lure scanners and log interactions.<\/li>\n\n \n\n<li>Implement interaction-based blocking for more targeted defense.<\/li>\n\n \n\n<li>Always confirm decoys aren\u2019t linked from real pages to avoid accidental banning.<\/li>\n\n <\/ul>\n\n \n\n<h2>Fingers crossed this helps<\/h2>\n\n --><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wanneer een server constant te maken krijgt met aanvalspogingen, vooral omdat hij rechtstreeks met het internet is verbonden zonder filters, is het onvermijdelijk dat hij<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1398","post","type-post","status-publish","format-standard","hentry","category-hulp"],"_links":{"self":[{"href":"https:\/\/help.peacedoorball.blog\/nl\/wp-json\/wp\/v2\/posts\/1398","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/help.peacedoorball.blog\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/help.peacedoorball.blog\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/nl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/nl\/wp-json\/wp\/v2\/comments?post=1398"}],"version-history":[{"count":0,"href":"https:\/\/help.peacedoorball.blog\/nl\/wp-json\/wp\/v2\/posts\/1398\/revisions"}],"wp:attachment":[{"href":"https:\/\/help.peacedoorball.blog\/nl\/wp-json\/wp\/v2\/media?parent=1398"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/nl\/wp-json\/wp\/v2\/categories?post=1398"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/nl\/wp-json\/wp\/v2\/tags?post=1398"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}