このブログを始めたころから、どうにかして「自分用のハニーポットをたてて生の攻撃見てみたい！」と思っていたのですが、Linuxの知識も大してなかったため「攻撃されるサーバなんぞ立てられるのか？？？」と、なかばあきらめておりました。

そうしたところ昨年11月にTwitterで以下のようなtweetを発見！！

morihi-socさん作成の「WOWHoneypot」

第2回ハニーポッター技術交流会で発表した資料を公開しました。→ 初心者向けハニーポット WOWHoneypot の紹介 https://t.co/MbUrt1OSju #hanipo_tech

— morihi-soc (@morihi_soc) 2017年11月25日

これは！！と思い、これまでVPS上に「CentOS＋nginx」で立てていた「ハニーポットもどき」のただのWebサーバーを、Ubuntuに切り替えたりして、ようやく正月明けから観察ができるようになりました。

で、ここ1か月ほどログをとってみたところ、2000件ほどのアクセスをいただきました。（ありがたや～ありがたや～）

アクセスの多い先はこんな感じ。（2018年1月2日~2月3日で合計10件以上をリスト化）

 第1位の「GET /maneger/html」へのアクセスはApache Tomcatの管理コンソール？への侵入試行のようです。リクエストの中身を見ると認証情報（ユーザID/PASS）をいろいろ変えてお試しされているようです。

第2位の「POST /command.php」は何やらサーバ上に変なファイルを作ろうと大量のechoコマンドを打ってくれておりました。（しかもご丁寧に2回繰り返して…）

だいたい1秒間隔でアクセスがあるので、プログラムで制御されてるんですかね。

ちなみにすべてのコマンドを全部打ち終わると最終的に「.nttpd」というファイルにして、実行しようとするみたいです。（ネットで検索したところ「BitCoinMiner」のファイル？？？）

第3位、第4位は何をしてるのかわかりません…サーバの調査活動？

第5位以降はphpmyadmin系が多いですね。「ただのWebサーバ」でログ見てた時も結構な量のアクセスあったし、「まぁそうだよね」という感じ。

というわけで、こんな感じで引き続き気の赴くままに観察していこうと思います。

（第2位のやつをもう少し深堀してみようかな…）