念願のハニーポットをたててみた!
このブログを始めたころから、どうにかして「自分用のハニーポットをたてて生の攻撃見てみたい!」と思っていたのですが、Linuxの知識も大してなかったため「攻撃されるサーバなんぞ立てられるのか???」と、なかばあきらめておりました。
そうしたところ昨年11月にTwitterで以下のようなtweetを発見!!
morihi-socさん作成の「WOWHoneypot」
第2回ハニーポッター技術交流会で発表した資料を公開しました。→ 初心者向けハニーポット WOWHoneypot の紹介 https://t.co/MbUrt1OSju #hanipo_tech
— morihi-soc (@morihi_soc) 2017年11月25日
これは!!と思い、これまでVPS上に「CentOS+nginx」で立てていた「ハニーポットもどき」のただのWebサーバーを、Ubuntuに切り替えたりして、ようやく正月明けから観察ができるようになりました。
で、ここ1か月ほどログをとってみたところ、2000件ほどのアクセスをいただきました。(ありがたや~ありがたや~)
アクセスの多い先はこんな感じ。(2018年1月2日~2月3日で合計10件以上をリスト化)
第1位の「GET /maneger/html」へのアクセスはApache Tomcatの管理コンソール?への侵入試行のようです。リクエストの中身を見ると認証情報(ユーザID/PASS)をいろいろ変えてお試しされているようです。
第2位の「POST /command.php」は何やらサーバ上に変なファイルを作ろうと大量のechoコマンドを打ってくれておりました。(しかもご丁寧に2回繰り返して…)
だいたい1秒間隔でアクセスがあるので、プログラムで制御されてるんですかね。
ちなみにすべてのコマンドを全部打ち終わると最終的に「.nttpd」というファイルにして、実行しようとするみたいです。(ネットで検索したところ「BitCoinMiner」のファイル???)
第3位、第4位は何をしてるのかわかりません…サーバの調査活動?
第5位以降はphpmyadmin系が多いですね。「ただのWebサーバ」でログ見てた時も結構な量のアクセスあったし、「まぁそうだよね」という感じ。
というわけで、こんな感じで引き続き気の赴くままに観察していこうと思います。
(第2位のやつをもう少し深堀してみようかな…)