今回はログから学ぼうということで、一見管理者向けに聞こえるかもしれませんが、基本的にざっくりとゆったりとした方針なので、ともかく関心を高めて欲しいという意味も込めているので、セキュリティ意識の向上のきっかけになれればいいなぁと思う今日このごろです。
ではでは、じつはここしばらくの間だけグローバル環境にハニーポット:Dionaeaを植えて観測をしていましたが、自分が求めていたのは研究用の「HTTPに対するログ」でしたが、その類のデータはスキャンかな?と思われるものしか取得できなくて期待した結果は得られませんでした。
世の中そんなに上手くいくこともないのですなぁ。
ただ、確実に分かった事はWindowsのSMBへのアタックがほんとに多い、多いと言いますか、ほとんどSMBでした。
バイナリデータも多数とれていたので、踏み台探しでしょうか?深く追いかけてはいないので詳細はわかりませんがとにかくSMBばっかりでした。
次いでSSH22番ポートへのアタックが多かったですね。
こういったものはおそらく色々なところ植えて調査をするべき事柄なんでしょうが、1つのハニーポットで観測したことなので、あくまで参考程度にしたいところですが、それにしてもSMB・Windowsの管理者は気をつけてください。
とくにWindows2003を放置していると踏み台に利用される可能性が非常に高いと思われます。
ポイント
Windows2003の管理者さんは気をつけよう!
・・・ちょっと教習所のスライドをイメージしてみました。
本題のログから学べる事ですが、HTTPのログに関してはハニーポットを植えるよりも普通にウェブサーバーを運用した方がログは学べると思います。もうぼちぼちで4年目に入りますが、Httpサーバーを建てて、Logwatchで管理していればおのずと情報が入ってくることでしょう。
せっかくなので少しだけLogwatchの内容を載せます。
403 Forbidden
/xmlrpc.php: 323 Time(s)
/xmlrpc.php?rsd: 2 Time(s)
何年前からやね〜んというログですが、まだまだ来ているようでした。
ではせっかくなのでガチンコでシェルを奪取されたWordpressのHttpdのログを載せます。
こういうログには気をつけようということで。
192.168.24.65 - - [16/Jun/2015:18:53:54 +0900] "GET /wordpress HTTP/1.1" 301 318 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.24.65 - - [16/Jun/2015:18:53:54 +0900] "GET /wordpress/ HTTP/1.1" 200 5765 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.24.65 - - [16/Jun/2015:18:53:54 +0900] "POST /wordpress/wp-login.php HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.24.65 - - [16/Jun/2015:18:53:54 +0900] "GET /wordpress/wp-admin/plugin-install.php?tab=upload HTTP/1.1" 200 14287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.24.65 - - [16/Jun/2015:18:53:54 +0900] "POST /wordpress/wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 12814 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
似たようなログは山ほどあると思うので、これでどうにかしろというのは無理難題ですが、おや?というところには気づけるようにしたいですねぃ。
ってことで、自分でハッキングしてセキュリティに関する知識を深めるというのも多いに良いのではないかと思います。
これが言いたかったのかもしれなぃにゃ。
ポイント
彼を知り己を知れば百戦殆うからず
