Honeypot Ollama : analyse des patterns d'abus sur 32 jours (mars-avril 2026)
🎯 Contexte Publié le 4 mai 2026 sur InTheCyber Posts par Marco Pedrinazzi, cet article présente la première partie d’une analyse d’un honeypot émulant un serveur Ollama déployé sur un VPS. Le honeypot a été indexé par Censys et Shodan peu après son déploiement, couvrant la période du 2026-03-20 au 2026-04-21 (32 jours). 📊 Statistiques globales 6 461 événements enregistrés sur les endpoints de l’API Ollama 324 adresses IP sources uniques 73 user agents uniques Endpoint le plus ciblé : /v1/chat/completions (2 438 événements), suivi de /api/tags (2 100) python-httpx/0.28.1 représente 62,7 % du trafic total (4 054 événements) 🔍 Patterns d’attaque identifiés 1. Énumération suivie de tests de vivacité Plusieurs IPs ont suivi un flux simple : énumération du serveur via /api/tags, /api/version, puis envoi de prompts courts et peu coûteux (“Hi”, “What is 2+2?”, “Calculate: 17 * 23”) pour vérifier quels modèles fonctionnaient. Ce trafic a également touché la surface OpenAI-compatible (/v1/*). ...