【ハニーポットの検証】ハニーポット設置163日目 ~port80にmiraiは来ているか?~
本日、職場で仕事終わりに有志のメンバーで「セキュリティ専門家人狼」をやってみました。
内容は普通の人狼ですが、名称がセキュリティ専門家になっているだけで、聞きなれない人からは難しさ倍増だったようですが、終わるころにはみんな言葉に慣れているようでしたね。
セキュリティ専門家の仕事のさわりを知るには、ちょうどいいかもしれません。
最近、マルウェア付きのバラマキメールを収集したいと考えているのですが、なかなかいい方法が思いつきません。
そこで、このブログのどこかにハニーポットとしてメールアドレスを記載することにしました。ロボット収集で集められることを意識し、ブログ内に隠していますので、ご興味のある方は、ぜひ見つけてみてください…簡単ですが笑
本日の攻撃状況
過去1週間の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
ここ最近、攻撃は落ち着いていていますね。大きな特徴がないまま推移しています。
本日の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
vnclowpotが一定数をキープしたまま推移していますね。
週間ログを見てみても、今日は少しvnclowpotの攻撃が多いようなので、少し気になりますね。
しかし、今日はこちらの記事が気になります。
うちのハニーポットはどうなんでしょうか?
Port:80のログ
まずは、Port:80のログを見てみたいと思います。
Port:80自体の攻撃数は、先述の記事では6月11日から急増したと記載されていますが、このログを見る限りでは、それほど大量に発生しているような感じではありませんね。
Suricataのデータ
Suricataで攻撃の種類を見てみたところ、ほとんどがSQLインジェクションで、残念ながらmiraiと思われる攻撃はほとんどなさそうですね。
残念ながら 現時点で記事にあるようなmiraiの攻撃を見つけることはできませんでした。もう少し、様子を見てみたいと思います。