【ハニーポットの検証】ハニーポット設置3日目

現在の環境として、PCが1台しかないため、何かの作業を行う場合や、PCの休息の時間を確保するために、24時間フル稼働にはせずに、ちょいちょいt-potを停止させています。

そのため、ずっと起動続けている方の結果とは異なった動きをするかもしれません。

さて、ハニーポットの運用、3日目です。

日中、リブートがかかってしまったようで、11時くらいで停止していましたので、それ以前と、気付いて再起動を行った後の状況です。

相変わらず

「ET EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communication」

これが非常に多いですね。2日目は、1日で23,978件となっていましたが、今回は、およそ半日で20,408件です。

今回個人的に気になったのは、脆弱性情報の

「CVE-2017-5638」

ですね。件数としては、2件とそれほど多くありませんが、今年3月に見つかったApache Struts2の脆弱性を狙ってきているようです。他の脆弱性は比較的古いものを使用していますが、これは新しめの攻撃ですので、それだけ効果が見込まれる攻撃だということでしょうか。

Cowrieでは、SSHを使用したブルートフォース攻撃の動向が見えるようなのですが、ユーザーネームとしては、「root」が圧倒的に多く狙われていますね。「root」というユーザ名は、日本では…というより、私の周りではあまり使用している方はいないのですが、海外を含め、多く使用されている名前のようですね。

ただ、これを見る限りでは、まだまだ本格的なブルートフォース攻撃を受けてはいないようですね。