ハニーポット運用(月次報告:2020年4月)
全国的に暖かい気温になり春から初夏への訪れを最近感じる。 5月4日に政府発表で緊急事態宣言の延長が発表される予定だが、経済への影響を鑑みてこの気温の変化が経済に少しでもプラスになってくれることを祈っている。
T-Potにて1か月運用した結果を記載する。
前提条件
運用日時:2020年4月1日-2020年4月30日
運用期間:30日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先々月比 |
|---|---|---|---|
| 1 | Dionaea | 8,533,337 | △32,342 |
| 2 | Cowrie | 2,715,080 | ▲582,156 |
| 3 | Heralding | 1,594,869 | ▲318,432 |
| 4 | Honeytrap | 519,154 | ▲101,599 |
| 5 | Rdpy | 40,925 | ▲1,944 |
| 6 | Adbhoney | 4,939 | ▲967 |
| 7 | Tanner | 4,116 | ▲1,727 |
| 8 | Ciscoasa | 1,646 | △238 |
| 9 | Mailoney | 1,511 | ▲25,057 |
| 10 | ElasticPot | 488 | △421 |
- Result
- 全体的に先月と変わらずだがMailoneyの件数が大きく減少している。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | China | 1,702,381 | 4(↑) |
| 2 | Russia | 1,385,927 | 1(↓) |
| 3 | Vietnam | 1,047,417 | 2(↓) |
| 4 | Republic of Korea | 565,615 | 19(↑) |
| 5 | Ireland | 559,988 | 6(↑) |
| 6 | Bulgaria | 558,934 | 9(↑) |
| 7 | Japan | 531,350 | 3(↓) |
| 8 | Taiwan | 495,432 | 7(↓) |
| 9 | United States | 495,268 | 10(↑) |
| 10 | Indonesia | 428,725 | 11(↑) |
| 11 | Ukraine | 316,888 | 14(↑) |
| 12 | France | 302,971 | 18(↑) |
| 13 | India, | 293,612 | 5(↓) |
| 14 | Brazil | 248,575 | 8(↓) |
| 15 | Panama | 236,282 | 圏外(↑) |
| 16 | Republic of Moldova | 233,774 | 12(↓) |
| 17 | Venezuela | 212,174 | 12(→) |
| 18 | Turkey | 194,791 | 圏外(↑) |
| 19 | Canada | 156,780 | 圏外(↑) |
| 20 | Netherlands | 149,251 | 16(↓) |
- Result
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 108 |
| 2 | CVE-2020-8515 CVE-2020-8515 | 90 |
| 3 | CVE-2019-0708 CVE-2019-0708 | 38 |
| 4 | CVE-1999-0016 | 5 |
| 5 | CVE-2017-0143 | 1 |
- Result
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | sa | 3,023,218 |
| 2 | root | 189,927 |
| 3 | admin | 91,414 |
| 4 | user | 9,199 |
| 5 | nproc | 5,751 |
| 6 | support | 3,701 |
| 7 | sh | 3,330 |
| 8 | test | 3,027 |
| 9 | enable | 2,463 |
| 10 | postgresll | 2,460 |
| 11 | ubuntu | 2,145 |
| 12 | deploy | 1,230 |
| 13 | linuxshell | 1,222 |
| 14 | oracle | 861 |
| 15 | git | 697 |
| 16 | ftpuser | 690 |
| 17 | guest | 645 |
| 18 | default | 565 |
| 19 | 666666 | 434 |
| 20 | www | 421 |
- Result
- saが1位に返り咲いた。使用される文字列の傾向は先月と変更なし。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 168,457 |
| 2 | & | 20,346 |
| 3 | 123456 | 9,055 |
| 4 | user | 7,097 |
| 5 | nproc | 5,737 |
| 6 | 12345678 | 5,588 |
| 7 | password | 5,443 |
| 8 | 3,819 | |
| 9 | support | 3,290 |
| 10 | shell | 3,235 |
| 11 | 123123 | 2,676 |
| 12 | system | 2,573 |
| 13 | 1q2w3e4r | 1,815 |
| 14 | 1qaz2wsx | 1,609 |
| 15 | root | 1,539 |
| 16 | 123456789 | 1,466 |
| 17 | 11111111 | 1,428 |
| 18 | 12345 | 1,402 |
| 19 | qwertyui | 1,212 |
| 20 | development | 1,206 |
- Result
- 先月より大きな変更点は無し。
