HFish开源蜜罐系统常见问题排查

HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性，帮助用户降低运维成本，提升运营效率。

在HFish中，管理端只用于数据的分析和展示，节点端进行虚拟蜜罐，最后由蜜罐来承受攻击。

在最小化测试的情况，您可以直接通过安装管理端，通过管理端内的内置节点，直接进行蜜罐服务测试。

server端问题

1.部署完成后，web页面打不开

解决办法：

1、确认浏览器访问地址是 https://[server]:4433/web/，注意不可缺少“/web/”这个路径

2、确认管理端进程的运行情况和TCP/4433端口开放情况，如果不正常需要重启管理端进程

检查 hfish-server的进程是否运行正常

ps ax | grep ./hfish | grep -v grep

#检查TCP/4433端口是否正常开放
ss -ntpl

3、检查管理端主机是否开启了防火墙，必要情况，考虑关闭防火墙

#centos7 检查防火墙状态
systemctl status firewalld

#centos7 检查防火墙开放端口
firewall-cmd --list-ports

4、Linux环境使用date命令确认系统时间的准确

5、如果以上都没有问题，请检查server和client日志

1. 节点端日志在安装目录的logs文件夹内，文件名为client.log
2. Linux管理端日志在/usr/share/hfish/log文件夹内，文件名为server.log
3. Windows管理端日志在C:\Users\Public\hfish\log文件夹内，文件名为server.log

节点问题

1.节点状态为红色离线

解决办法：

1、检查节点到管理端的网络连通情况，以下是几种常见情况

节点每60秒连接管理端的TCP/4434端口一次，180秒内连接不上即显示为离线。
刚完成部署或网络不稳定的时候会出现显示为离线。
通常情况，等待2~3分钟，如果节点恢复绿色在线，那蜜罐服务也会从绿色启用，变成绿色在线。

2、如果确认网络访问正常，节点在管理端上始终离线，需要检查节点上的进程运行情况。如果进程运行异常，需要杀死全部关联进程后，重启进程，并记录错误日志。

#检查./client的进程是否运行正常
ps ax | grep -E ‘services|./client’ | grep -v grep

3、如果以上都没有问题，请检查server和client日志

节点端日志在安装目录的logs目录内，文件名为client.log
Linux管理端日志在/usr/share/hfish/log文件夹内，文件名为server.log
Linux管理端日志在C:\Users\Public\hfish\log文件夹内，文件名为server.log

Linux节点端后台运行方案：
nohup .~/client >>nohup.out 2>&1 &

Linux开机自启动方案
echo ‘nohup .~/client >>nohup.out 2>&1 &’ >> /etc/rc.local

Linux定时任务方案
echo ‘* * * * * nohup .~/client >>nohup.out 2>&1 &’ >> /var/spool/cron/crontabs/root

蜜罐服务问题

1.节点在线、部分蜜罐服务在线，部分离线。
可通过触碰状态旁边的问号，确认离线原因。

解决办法：
该报错情况往往是因为端口冲突

这个问题常见默认22端口的SSH服务，刚启动client的时候服务在线，过了一会儿后服务离线。
使用ss -ntpl命令检查该蜜罐服务的端口是否被占用？如果被占用，建议修改该业务的默认端口。

Windows操作系统上，如果用户启用了tcp端口监听，大概率会发现TCP 135、139、445、3389端口冲突，
这是用于Windows默认占用了这些端口，不建议在Windows上监听TCP 135、139、445、3389端口。

Linux操作系统端口冲突解决方案：
lsof -i:[port]
kill [pin]
重新启用该端口的蜜罐

2.变更服务模板后，蜜罐新服务访问不了。

在HFish当前的产品结构中，管理端永远不会主动连接节点进行节点配置的变更。
管理端仅负责生成一个配置，等待节点每60秒尝试连接管理端拉取。

蜜罐服务被攻击的结果，会实时上报到管理端。

已被发现或反馈的问题

1、经过测试，由于华为鲲鹏920 ARM aarch64架构CPU无法向下兼容aarch32，HFish暂时无法在该CPU上运行;

2、HFish作为一款安全类的诱捕软件，其部分权限可能会跟本地杀毒软件有冲突。这是蜜罐类产品的正常特性，我们建议蜜罐机器暂时关停杀毒软件或设置杀毒软件将HFish加为白名单，当前已知冲突：卡巴斯基；

3、HFish管理端Windows版本分发蜜饵推荐用户使用了Windows自带的certutil程序，该方法可能会导致Windows自带的默认配置的杀毒软件Windows Defender告警，并导致certutil执行失败，建议分发前在“病毒和威胁防护设置”中暂时关闭实时保护，或使用手动下载方式部署蜜饵;

4、当前所有版本升级到2.7.0版本并不支持页面点击，使用V2.5.x和V2.6.x版本的用户可以查看 https://hfish.net/#/update ，按照指引进行升级，可实现数据顺滑迁移;

5、2.7.0版本中使用MySQL数据库时，如果用户使用的MySQL密码还有特殊字符会导致无法连接，建议暂时使用字符和数字的组合当密码，该问题将在下个版本修复;

6、2.6.2添加的Linux节点升级到2.7.0后，从该Linux节点上拉取蜜饵会出现HTTP 404错误，内置节点和Windows节点不受影响，该问题将在下个版本修复;

7、新安装2.7.0管理端后，如果添加32位CentOS节点，该节点会崩溃，2.6.2已添加的32位CentOS节点升级到2.7.0不受影响;