サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置74日目 ~WOWhoneypotのログと格闘中~

出張が続いていたため、更新が遅れました。

Slackのほうでも、興味深い会話が行われていましたが、すっかり乗り遅れた感がありますね…。

 

気を取り直して、最新のデータを調べてみたいと思います。

 

まずは7日間の推移です。

【全ハニーポット

f:id:tk-secu:20180307222502p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180307222534p:plain

ここ数日は比較的落ち着いた推移になっていますね。

 

1日分のログで詳細を見てみます。

【全ハニーポット

f:id:tk-secu:20180307223145p:plain

f:id:tk-secu:20180307223158p:plain

f:id:tk-secu:20180307223206p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180307222722p:plain

1日単位で見てみても、それほど大きな問題はなさそうですね。

ただ、AS/Nにまた、中国のIoTと思われるものが存在しているのが気になります。

 

さて、先日、T-POTに加えて、WOWhoneypotの仕込みも完了しています。

今日は、そちらのログを見てみたいと思います。

 

非常に多くのログが書かれていますが、これまでkibanaで可視化されたものを見ていただけですので、文字列だけ見ても、よくわかりません。

 

HTTP/1.0 status200のため成功 くらいまでは読めるのですが、その後の英数字の羅列が何を意味しているのか、分からないですね…。

今回、viコマンドでログファイルを開いてみましたが、実際には違う方法で見たほうが良いのかもしれません。

もう少し勉強が必要ですね。