【ハニーポットの検証】ハニーポット設置65日目 ~最近、elasticsearchの調子が悪い~
最近、kibanaの調子がよろしくありません。
こういった感じで、elasticsearchがタイムアウトやイニシャライズ待ちで使用できないことが増えてきました。
elasticsearchは、全文検索エンジンということで、ログからkibanaで可視化するためのデータを収集する役割を持っているのだと思います。
これがタイムアウトするということは、収集するログが多すぎるということなのでしょうか…。
ひとまず、JVMのヒープサイズを512MBから2GBに変更しましたが、果たして効果があるものか…。ただ、t-pot.ymlで操作できるのが、ここくらいしかないんですよね…。
しばらく様子を見てみたいと思います。
前置きが長くなりましたが、本日のデータです。まずは7日間の推移です。
ここ最近の中では、Cowrieが最も多い日になりましたね。オリンピックの閉会と関連はあるのでしょうか?
次に、本日1日分です。
オリンピックの閉会式が20時~でしたので、それ以降に増えているので、関係があるのでは?と疑ってしまいますね。ここ最近、Cowrieが少なかったのは、サイバー攻撃を行う人もオリンピックに夢中だったから…なんてことはないでしょうね。
地域で気になるのは、イスラエルでしょうか。昨日と違って福岡は無くなりましたね。
Cowrieを外すと、このようになります。
honeytrap、Dionaeaに攻撃が集まってきていますね。
Dionaeaといえば、VirusTotalのAPIですね。早速調べてみましょう。
ほとんどCVE-2017-0147.Aということですが、4つほど違うのが混在しているのと、1つは未知のマルウェアでしょうか。「null」が存在していますね。この「null」は他のアンチウィルスソフトでも「null」のようでした。
それにしても、CVE-2017-0147はいつまでも続きますね。悪用する方にとっては、それだけ優れた脆弱性だったということでしょうか。