https://cyberveille.ch/tags/ollamaprobe/2.1/ Recent content in OllamaProbe/2.1 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sat, 09 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-09-honeypot-ollama-analyse-des-patterns-d-abus-sur-32-jours-mars-avril-2026/ Sat, 09 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-09-honeypot-ollama-analyse-des-patterns-d-abus-sur-32-jours-mars-avril-2026/ <h2 id="-contexte">🎯 Contexte</h2> <p>Publié le 4 mai 2026 sur InTheCyber Posts par Marco Pedrinazzi, cet article présente la première partie d&rsquo;une analyse d&rsquo;un <strong>honeypot émulant un serveur Ollama</strong> déployé sur un VPS. Le honeypot a été indexé par Censys et Shodan peu après son déploiement, couvrant la période du <strong>2026-03-20 au 2026-04-21</strong> (32 jours).</p> <h2 id="-statistiques-globales">📊 Statistiques globales</h2> <ul> <li><strong>6 461 événements</strong> enregistrés sur les endpoints de l&rsquo;API Ollama</li> <li><strong>324 adresses IP sources</strong> uniques</li> <li><strong>73 user agents</strong> uniques</li> <li>Endpoint le plus ciblé : <code>/v1/chat/completions</code> (2 438 événements), suivi de <code>/api/tags</code> (2 100)</li> <li><code>python-httpx/0.28.1</code> représente 62,7 % du trafic total (4 054 événements)</li> </ul> <h2 id="-patterns-dattaque-identifiés">🔍 Patterns d&rsquo;attaque identifiés</h2> <h3 id="1-énumération-suivie-de-tests-de-vivacité">1. Énumération suivie de tests de vivacité</h3> <p>Plusieurs IPs ont suivi un flux simple : énumération du serveur via <code>/api/tags</code>, <code>/api/version</code>, puis envoi de <strong>prompts courts et peu coûteux</strong> (&ldquo;Hi&rdquo;, &ldquo;What is 2+2?&rdquo;, &ldquo;Calculate: 17 * 23&rdquo;) pour vérifier quels modèles fonctionnaient. Ce trafic a également touché la <strong>surface OpenAI-compatible</strong> (<code>/v1/*</code>).</p>