サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置247日目 ~9月前半の攻撃を検証!~

ハニーポット(T-POT)

さて…最近ハニーポットの確認が全然行えていないなぁと考えていたら、すでに9月も半ばまで来てしまいました。

と、いうことで、今回は(今回も?)今回は9月1日~13日までの約半月分を一挙公開します!

 

 

本日の攻撃状況

8月上前半の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180913223242p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180913223324p:plain

特徴的なのは、9月6日のhoneytrapですね。通常は多くて2,000程度の攻撃ですが、この日だけは35,384件と、通常の15倍以上の攻撃を受けています。

まずはそこと、WOWHoneypot、Mailoneyを少し見てみましょう。

 

honeytrapの攻撃状況

f:id:tk-secu:20180913223702p:plain

f:id:tk-secu:20180913223738p:plain

 

honeytrapの攻撃元はNetherlands、つまり「オランダ」ですね。

Portの円グラフを見ると、同じ程度の件数が大量に着信しているように見えますが、件数を見てみると、7件や10件といったように、明らかに数が少ないため、参考にはならなさそうです。

すこし、時間をかけてログを確認しないと、正確な情報は見えなさそうですね。

  

メールハニーポットの検証

さて、出会い系に登録しておいたメールアドレスたちはどうなったでしょうか。

f:id:tk-secu:20180913225756p:plain

さすがに放置しているだけあって、件数が大幅に低下していますね。

 

ちょっと気になるのが、不明の2つです。特に不明の上のほうは、ドメインが違うのに着信していて、20件という件数になっているのが気になりますね。 

f:id:tk-secu:20180913225944p:plain

これがちょうど21件なので、不明の21件と一致します。これらはいずれも「bbtec[.]net」というドメインから着信しています。このドメインソフトバンクBBのもののようなのですが、内容をチェックする必要があるかもしれませんね。

WOWHoneypotの検証

WOWHoneypotのログもチェックしてみましたが、残念ながらApache Struts2に対する攻撃は着信していませんね。

上位30はこのようになります。

f:id:tk-secu:20180913230419p:plain

/manager/htmlが断トツですね。最も狙われやすそうなルートを6倍もの差をつけて着信しています。

これは、Apache Tomcatを狙った攻撃(デフォルトでhttp://(IPアドレス:8080)/manager/html)だと推測できそうですね。