ハニーポットの観測記録

ハニーポッターすぎたむちのぶろぐ

ハニーポット観察記録【13】

Cowrie運用63日目の簡易報告です。

直近7日分の集計結果を公開します。

ダッシュボードと集計結果

ダッシュボード
※集計期間:2018/09/29~2018/10/05
※今回から集計期間を厳密にするために、少し抽出方法を変更しました。
f:id:SugitaMuchi:20181006210048p:plain f:id:SugitaMuchi:20181006210102p:plain ※map(event),pie(country,city,ip),grahp(protocol)
※grahp(username),grahp(password)


■ログイン試行回数( username )
※集計期間:2018/09/29~2018/10/05
※上位10件

試行回数 username
6073 root
3872 support
2846 default
2667 admin
375 user
203 guest
73 oracle
45 pi
44 test
43 ftp

■ログイン試行回数( password )
※集計期間:2018/09/22~2018/09/29
※ログ集計分
※上位10件

試行回数 password
3872 support
1836 OxhlwSG8
949 (non pass)
732 admin
691 aquario
593 zlxx.
575 changeme
510 root
508 123456
461 default

■ログイン試行回数( username / password )
※集計期間:2018/09/29~2018/10/05
※上位10件

試行回数 username / password
3872 support / support
1836 default / OxhlwSG8
691 admin / aquario
661 root / zlxx.
633 root /
615 admin / admin
510 root / root
401 root / changeme
320 root / taZz@23495859
309 default / default


その他や今後の活動など

■今期間中のマルウェアについて
全てではありませんが、VirusTotalの検索でヒットしなかったものをVirusTotalに登録したのち、ツイッターハッシュタグ #登録するだけの簡単な作業 で呟きましたので、参考にしてください。
※まだセキュリティメーカの検出率も低いものが多いので、早く対応してもらいたいです

ハニーポットの観測ログについて1
現在ハニーポットにて観測しているログをリアルタイムでSlackへ飛ばしているため、外出先にいてもすぐに確認することができています。
また、ログを常時監視してキーワードをひっかけて通知していますが、ゴミが混ざることや、通知が止まないことがあるので、その辺を改善していこうと考えています。

ハニーポットの観測ログについて2
2種類のハニーポットを植えていますが、さまざまな攻撃を観測しています。
ほぼ国外からですが、長い期間攻撃が続くものや国内からのものがありますので、優先順位をつけてJPCERT/CCへ報告することにしました。
かなりの数の報告をしたりもしているので、迷惑でないか心配ですが。

■技術書典5について
2018/10/08 (月) 11:00〜17:00に開催される「技術書典5」が楽しみ!
必ず行きます!

今回は余談が多いですが以上です。