【ハニーポットの検証】ハニーポット設置23日目 ~韓国からの攻撃、継続中~
本日も韓国からの攻撃が継続しています。
まずは、12月21日~の記録です。
昨日同様に「Cowrie」の件数が増加しています。
本日1日分に限定すると、以下のようになります。
昨日と同様に韓国からの攻撃が非常に多くなっていますね。
韓国に絞ってデータを抜いてみると、このようになります。
昨日とは若干地域が異なるようですが、相変わらず「Korea Telecom」からの通信ですね。
ただ、機能はIPアドレスが3つほど使われていましたが、本日は5万件中4万5千件が1つのIPアドレスからになっています。
VirusTotalで調べてもDNSには登録されていないIPアドレスですね。
「Suricata Alert Signature - Top 10」を見てみると、多い攻撃が「ET TELNET SUSPICIOUS busybox shell」と「ET TELNET SUSPICIOUS busybox enable」となっています。「busybox」は組み込みLinuxで使われるオープンソースの万能コマンドということで、その辺が関係している攻撃なのでしょうか。