【ハニーポットの検証】ハニーポット設置247日目 ~9月前半の攻撃を検証!~
さて…最近ハニーポットの確認が全然行えていないなぁと考えていたら、すでに9月も半ばまで来てしまいました。
と、いうことで、今回は(今回も?)今回は9月1日~13日までの約半月分を一挙公開します!
本日の攻撃状況
8月上前半の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
特徴的なのは、9月6日のhoneytrapですね。通常は多くて2,000程度の攻撃ですが、この日だけは35,384件と、通常の15倍以上の攻撃を受けています。
まずはそこと、WOWHoneypot、Mailoneyを少し見てみましょう。
honeytrapの攻撃状況
honeytrapの攻撃元はNetherlands、つまり「オランダ」ですね。
Portの円グラフを見ると、同じ程度の件数が大量に着信しているように見えますが、件数を見てみると、7件や10件といったように、明らかに数が少ないため、参考にはならなさそうです。
すこし、時間をかけてログを確認しないと、正確な情報は見えなさそうですね。
メールハニーポットの検証
さて、出会い系に登録しておいたメールアドレスたちはどうなったでしょうか。
さすがに放置しているだけあって、件数が大幅に低下していますね。
ちょっと気になるのが、不明の2つです。特に不明の上のほうは、ドメインが違うのに着信していて、20件という件数になっているのが気になりますね。
これがちょうど21件なので、不明の21件と一致します。これらはいずれも「bbtec[.]net」というドメインから着信しています。このドメインソフトバンクBBのもののようなのですが、内容をチェックする必要があるかもしれませんね。
WOWHoneypotの検証
WOWHoneypotのログもチェックしてみましたが、残念ながらApache Struts2に対する攻撃は着信していませんね。
上位30はこのようになります。
/manager/htmlが断トツですね。最も狙われやすそうなルートを6倍もの差をつけて着信しています。
これは、Apache Tomcatを狙った攻撃(デフォルトでhttp://(IPアドレス:8080)/manager/html)だと推測できそうですね。