ハニーポット
JBossの脆弱性を狙ったような探索アクセスが僕のハニーポットにきていましたので、ご紹介します。 アクセス内容 1件目 GET /jexws2/jexsw2.jsp?ppp=echo%20D3c3mb3r HTTP/1.1 Cache-Control: no-cache Connection: Keep-Alive Host: XXX.XXX.XXX.XXX User-Ag…
以前、ハニーポットを運用していたEC2がメモリー増加の影響でハングして、うんともすんともいかなかくなったので、メモリ使用率を監視したいと思い、AWSで実装した方法を備忘のために記載しておきます。 saito.hatenadiary.com 正直公式ドキュメント見れば、…
僕のハニーポットにこんな感じのアクセスが来ていました。 1件目 POST /onvif/device_service HTTP/1.1 Accept-Encoding: gzip, deflate Content-Length: 1144 Content-Type: application/soap+xml; charset=utf-8; action="http://www.onvif.org/ver10/devi…
ハニーポットに珍しいログを発見したので、ご紹介します。 捕まえたログはこんなんです。 POST /_vti_bin/_vti_aut/author.dll HTTP/1.1 Accept: auth/sicily Cache-Control: no-cache Connection: close Content-Length: 194 Content-Type: application/x-v…
最近メモリ不足で停止していたハニーポットを復旧させたので、動作確認を含めログを見てみました。 復旧の際の記事はこちら。 saito.hatenadiary.com あいかわらず、ほとんどがWebShell調査用のアクセスで目新しいものはないのです。 2018/10/8(月)は全部…
先日SFTPクライアントでいつもどおり、Glastopfのログを取得しようとしたところ、接続できない事象が発生しました。 SSHで接続しようとしても、 こんな感じで、 Operation timed out となってしまいます。 僕の場合、AWS上にハニーポットを構築しているので…
何気なくGlastopfのログを見ていると、いつもとは違った変なアクセスがありました。 同じ時刻に同じIPアドレスから6件アクセスが来ているので、何らかのスクリプトで脆弱性がないか探索しているものと推測できます。 アクセス① POST /wuwu11.php HTTP/1.1 Co…
しばらくCowrieを放置していたのですが、かなりアクセスが来ているようで、実際にダウンロードされたファイルもたくさんあったので、どんなファイルがダウンロードされていたかご紹介したいと思います。 Cowrieの場合、攻撃者がSSHでログインして何かしらの…
Mikto Til社のRouterOSを探索するようなアクセスをキャッチしたので、ご紹介します。 今回キャッチしたアクセスログはこんな感じです。 GET /webfig/roteros.info HTTP/1.1 Accept: */* Connection: close Host: XXX.XXX.XXX.XXX User-Agent: Wget(linux) 単…
以前から気づいていたのですが、僕のハニーポットのauth.logにものすごい量のSSH認証失敗ログが記録されています。 インターネットの世界はHTTPだけでなく、SSHアタックも多いことと、最近Glastopfの攻撃アクセスが偏っていて、面白くなくなってきたので、SS…
最近DASAN Network Solutionsのホームルーターの脆弱性やWebLogicの脆弱性を狙った攻撃ばかりで、つまんないなーと思いながらハニーポットのログを見ていたら、見慣れないログを見かけたので、ご紹介します。 そのログはこんな感じのログです。 POST /RPC2 H…
ハニーポットを運用していて、万が一僕のハニーポットがウイルスに感染したらどうしようと気になってはいました。 なので、ウイルス対策ソフトをインストールしたいと思っていたのですが、どうしても市販のものだと初期費用がかかるし、更新費用とかも気にな…
毎日ハニーポットのログを見るのが、日課になっています。 ただ、今はログを見る際パソコンを広げて、見るというスタイルで、いつでもどこでも見ることができるというわけではないので、いつでもどこでもハニーポットのログが確認できるようにAmazon CloudWa…
5月6日ごろから急激にきている攻撃ログを発見したので、ご紹介します。 具体的なアクセスは下記のようなものです。 POST /GponForm/diag_Form?images/ HTTP/1.1 Cache-Control: no-cache Connection: keep-alive Content-Length: 119 Content-Type: text/pla…
Glastopfのログを見ていて、なんじゃこれってなったログがあったので、ご紹介します。 GET /index.action HTTP/1.1 Accept: */* Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAc…
4月の中旬くらいからGlastopfを使用したハニーポットを構築し、定期的にログをウォッチしているのですが、珍しめのログをご紹介したいと思います。 1週間に1件くらいの頻度ですが、下記のアクセスが僕のハニーポットにきます。 GET /.aws/credentials HTTP/1…
CiscoのLinksys E-seriesを狙ったような攻撃をキャッチしたので、ご紹介します。 CiscoのLinksys E-seriesとは Ciscoから販売されている自宅用のワイヤレスルータのようです。 今回の攻撃 今回はこんな感じのリクエストがハニーポットに来ていました。 POST …
先日ご紹介したDrupalの脆弱性を狙ったアタックの具体的な攻撃例をご紹介します。 saito.hatenadiary.com 今回僕のハニーポットに来ていた攻撃のアクセスは3種類あり、どれもphpファイルを配置するような動きを行う処理でした。 curlコマンドでwp-stats.txt…
古い脆弱性ですが、面白い攻撃ログを僕のハニハニちゃんがキャッチしたので、ご紹介します。 キャッチしたログはこんな感じです。 POST /wls-wsat/CoordinatorPortType HTTP/1.1 Connection: Close Content-Length: 1214 Content-Type: text/xml Host: XXX.X…
先日より僕のハニーポットが動作しているのですが、さっそく怪しいアクセスをキャッチしたので、紹介します。 saito.hatenadiary.com 実際の僕のハニーポットで取得できたログはこんな感じです。 一応あれかなと思いアクセス元のIPアドレスは伏せてあります…
以前の記事でもご紹介したのですが、今回Webアプリケーション型のハニーポットであるGlastopfをAWSのEC2にインストールしたので、手順を紹介したいと思います。 saito.hatenadiary.com 下記公式サイトで詳細な手順は記載されているので、あまりつまずくとこ…
最近九州商船の記事を見て、セキュリティ対応の重要性を感じておりますが、僕のAWS環境もmessagesログを見ると、確かに不審なアカウントでアクセスしようとしている痕跡があったりするので、インターネットの世界は攻撃だらけなのかなと思っています。 www.o…