Cowrieをインストールしてみて1日経ったログを見てみる
昨日SSHハニーポットのCowrieをインストールしたのですが、1日でどれくらい攻撃がきているか確認してみました。
その数、なんと。。。
483件!
多すぎでしょ。笑
日々SSHの攻撃は来ているのは分かっていましたが、1日で483件も来ているのには驚きです。。。
大体1時間あたり20件、3分に1件くらいのSSH攻撃が来ていることになります。
僕のサーバーの場合、特に公開しているサーバーではないので、普通に公開しているWebサービスはもっと攻撃が来ている可能性があります。
どんなユーザー名でSSH接続しに来ているかというと、こんな感じです。
| ユーザー名 | 件数 |
|---|---|
| root | 175 |
| admin | 53 |
| test | 24 |
| support | 4 |
| ubuntu | 4 |
やっぱり断トツで多いのは「root」でした。 rootユーザーを乗っ取ってしまえば、なんでもできてしまうので攻撃者からすると、ローリスクハイリターンです。
次に多いのは、adminでした。 こちらも管理者権限を持っていることが多いため、攻撃者からは狙われやすいようです。
あとはtest、supportといった作成しがちなユーザー名での攻撃が来ていました。
次に実際に攻撃で使用されているパスワードは、こんな感じでした。
| パスワード | 件数 |
|---|---|
| admin | 108 |
| 123456 | 31 |
| password | 11 |
| 1234 | 7 |
| 123 | 5 |
adminが一番多く試されているようでした。 個人的にはpasswordが一番かなと思っていたのですが、passwordは3位で、それを上回ったのが123456という数字のみのパスワードでした。
いっぱいログが採取できたのですが、興味深かったのが、攻撃に使用されるパスワードの長さでした。 横軸にパスワードの文字列の長さ、縦軸が攻撃件数の棒グラフを作成してみました。
5文字のパスワードが一番多く、逆に25文字以上のパスワードの攻撃は来ていませんでした。
パスワードを25文字以上にすると安全性は非常に高いようです。
1日で結構面白いログが採取できたので、今回採取したユーザー名とパスワードを設定ファイルに登録して、実際の攻撃内容を観察してみようと思います。
