ハニーポット運用(月次報告:2021年6月)
今月のTopics
コンテンツ配信ネットワーク(CDN)プロバイダのFastlyで2021年6月8日に発生したシステム障害により世界中のインターネットサービスに影響が発生した。The GuardianやThe New York Timesなどの大手メディア、Amazonなどの流通サービス、PayPalなどの決済サービス、英国政府サイト(gov.uk)の政府機関など影響範囲は多岐に及んだ。また日本においてもメルカリやnote、Spotify、楽天市場、GitHubなどにも影響が発生した模様。
status.fastly.com japan.cnet.com wired.jp
詳しい理由は公表されていないがソフトウェア内に潜んでいた未発見のバグが、顧客側の設定変更に影響を受けて発生したようだ。 DDosによりサービス提供が困難になった場合の影響が良く理解できる障害であった。また1時間程度で復旧できたのは不幸中の幸いである。
業務に爽快感を求めてはいけないが、特にインフラ作業においては当たり前のように利用できることを維持することが最も重要である。
今月のChangelog
更新無し。
前提条件
運用日時:2021年6月1日-2021年6月30日
運用期間:30日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 3,423,854 | ▲517,210 |
| 2 | Heralding | 755,486 | ▲247,859 |
| 3 | Honeytrap | 519,286 | ▲197,447 |
| 4 | Dionaea | 351,389 | 11,897 |
| 5 | Rdpy | 88,578 | ▲78,336 |
| 6 | Adbhoney | 14,700 | 19 |
| 7 | Mailoney | 10,842 | ▲10,216 |
| 8 | Tanner | 4,201 | ▲4,855 |
| 9 | ConPot | 2,101 | 652 |
| 10 | CitrixHoneypot | 1,510 | 75 |
| 11 | Ciscoasa | 1,419 | ▲838 |
| 12 | ElasticPot | 1,269 | ▲167 |
| 13 | Medpot | 156 | ▲1,921 |
- Result
- 特記事項は無し。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Ireland | 1,716,881 | 1(→) |
| 2 | Russia | 1,161,544 | 2(→) |
| 3 | Netherlands | 860,138 | 5(↑) |
| 4 | China | 770,235 | 4(→) |
| 5 | Panama | 530,447 | 8(↑) |
| 6 | Vietnam | 432,792 | 3(↓) |
| 7 | United States | 347,849 | 7(→) |
| 8 | India | 345,303 | 6(↓) |
| 9 | Brazil | 173,598 | 9(→) |
| 10 | Indonesia | 153,339 | 10(→) |
| 11 | France | 118,731 | 圏外(↑) |
| 12 | Venezuela | 116,310 | 11(↓) |
| 13 | Romania | 112,847 | 圏外(↑) |
| 14 | Republic of Moldova | 98,421 | 圏外(↑) |
| 15 | Turkey | 88,126 | 12(↓) |
| 16 | Taiwan | 80,050 | 14(↓) |
| 17 | Germany | 79,789 | 圏外(↑) |
| 18 | Bulgaria | 77,013 | 18(→) |
| 19 | Thailand | 76,710 | 圏外(↑) |
| 20 | Egypt | 75,033 | 16(↓) |
- Result
- 特記事項は無し。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2020-11899 | 1,270,391 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 52 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 26 |
| 4 | CVE-2020-11910 | 7 |
| 5 | CVE-2021-27561 CVE-2021-27561 CVE-2021-27562 CVE-2021-27561 | 2 |
| 6 | CVE-2020-8515 CVE-2020-8515 | 1 |
- Result
参考URL: ssd-disclosure.com www.fortiguard.com unit42.paloaltonetworks.jp
6月の観測では香港とノルウェーから1件ずつアクセスを観測しており、どちらもニュージーランドの同一のDropperサイトからlolol.shのダウンロードを試みていた。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 262,827 |
| 2 | admin | 121,643 |
| 3 | support | 10,543 |
| 4 | user | 8,316 |
| 5 | test | 7,660 |
| 6 | guest | 4,348 |
| 7 | sa | 2,946 |
| 8 | postgres | 2,336 |
| 9 | nproc | 2,293 |
| 10 | info | 2,269 |
| 11 | sales | 2,127 |
| 12 | besadmin | 2,042 |
| 13 | sale | 2,042 |
| 14 | ftpuser | 1,757 |
| 15 | backup | 1,614 |
| 16 | 22 | 1,572 |
| 17 | Admin | 1,558 |
| 18 | 1,495 | |
| 19 | weblogic | 1,455 |
| 20 | inspur | 1,374 |
| 21 | administrator | 1,305 |
| 22 | server | 1,187 |
| 23 | webmaster | 1,139 |
| 24 | service | 1,121 |
| 25 | scan | 1,023 |
| 26 | adobe | 1,021 |
| 27 | chairman | 1,021 |
| 28 | scanner | 1,021 |
| 29 | ubnt | 622 |
| 30 | operator | 618 |
| 31 | ubuntu | 527 |
| 32 | oracle | 525 |
| 33 | 101 | 485 |
| 34 | adm | 446 |
| 35 | www | 421 |
| 36 | mysql | 381 |
| 37 | web | 377 |
| 38 | 666666 | 361 |
| 39 | nagios | 361 |
| 40 | debug | 355 |
| 41 | unknown | 349 |
| 42 | 2Wire | 348 |
| 43 | git | 332 |
| 44 | ftp | 323 |
| 45 | !root | 320 |
| 46 | sh | 320 |
| 47 | es | 314 |
| 48 | system | 311 |
| 49 | testuser | 298 |
| 50 | apache | 296 |
- Result
- besadminはIBM BigFix製品の管理者アカウントになる。
- !root はネットワーク関連の管理者アカウントになる際のアカウントになる。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 241,071 |
| 2 | & | 30,089 |
| 3 | root | 11,179 |
| 4 | support | 9,296 |
| 5 | 7,978 | |
| 6 | user | 5,415 |
| 7 | 123456 | 4,780 |
| 8 | test | 4,632 |
| 9 | password | 3,524 |
| 10 | 1234 | 3,421 |
| 11 | 123 | 2,767 |
| 12 | nproc | 2,293 |
| 13 | 12345 | 1,856 |
| 14 | 1 | 1,639 |
| 15 | Admin | 1,402 |
| 16 | 12345678 | 1,204 |
| 17 | ubnt | 964 |
| 18 | qwerty | 941 |
| 19 | 1qaz2wsx | 911 |
| 20 | 123qwe | 796 |
| 21 | blank | 779 |
| 22 | 1234567 | 762 |
| 23 | 123456789 | 727 |
| 24 | 1q2w3e4r | 712 |
| 25 | 1q2w3e | 664 |
| 26 | 12 | 658 |
| 27 | guest | 582 |
| 28 | pass | 567 |
| 29 | operator | 566 |
| 30 | 0 | 524 |
| 31 | 101 | 517 |
| 32 | p@ssw0rd | 517 |
| 33 | 111111 | 506 |
| 34 | 666666 | 492 |
| 35 | q1w2e3 | 488 |
| 36 | qwe123 | 485 |
| 37 | q1w2e3r4 | 475 |
| 38 | passw0rd | 464 |
| 39 | p@ssword | 463 |
| 40 | test123 | 456 |
| 41 | master | 426 |
| 42 | backup | 410 |
| 43 | 321 | 407 |
| 44 | alpine | 398 |
| 45 | hi3518 | 389 |
| 46 | unknown | 385 |
| 47 | synnet | 367 |
| 48 | abc123 | 366 |
| 49 | passwd | 345 |
| 50 | 123123 | 314 |
- Result
- サーバやクライアントに設定するパスワードは引き続き注意!!
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
