ハニーポットについて (2)アクセスログ有効活用方法
- 2014年10月29日
- CATEGORY- 1. 技術力{技術情報}
こんにちは、松野です。
前回ハニーポットの設置についてやりましたが、無事設置できましたか?
今回はアクセスログ有効活用方法を書こうと思います。
前回インストールしたkippoディレクトリの中の utilsディレクトリの中にアクセスログを
有効活用するツールが入っています。
使うのは、playlog.py
引数にkippoが出力したログを指定すると、そのログを再生してくれます。
物は試しに、自身のkippoにアクセスしてログを残してみてください。
log/tty/の下にログが残ってますか?
(画像は実際に不正アクセスにあっているサーバーなので、
このディレクトリに大量のログが残っています。)
ではこれを相対パスで引数にして、実行してみましょう。
実行すると、このようにログを再生してくれます。
かくしてある所には、別サーバーのIPアドレスがかかれてます。
たぶんゾンビサーバーとして操られてる踏み台サーバーだと思います。。。
この人は、このサーバーにアクセスして
uname -a で名前を見て、rootディレクトリに移動して
wgetでスパイウェアを落として、実行しようとしてますね。
この様に、どんなユーザがどんな処理をしようとしているのかわかるので
(タイピングもそのまま再生してくれるので)見てるだけでおもしろいです
実際に今どんなアタックを受けているのかが分かります。
*正確にはアタックを受けてサーバーが乗っ取られたら何をされるかがわかります。
ハッキングにも作法があるらしく、ほぼ必ずログインしたユーザはwコマンドを試していたり
ユーザ名はrootがアタックされやすい事が統計でだせたり
パスワードは123456がアタックされやすいとかも、ログをとることで手に取るように分かります。
あまり詳しいクラッキング情報はだせませんが、彼を知り己を知れば百戦殆うからずという言葉があるように、クラッキング情報を集めると、システムセキュリティ的に強くなれるかもしれませんね!
【関連記事】
ハニーポットについて (1)サーバーを立てる
- 2014年10月29日
- CATEGORY- 1. 技術力{技術情報}