ハニーポットについて (2)アクセスログ有効活用方法

こんにちは、松野です。
前回ハニーポットの設置についてやりましたが、無事設置できましたか?

今回はアクセスログ有効活用方法を書こうと思います。

前回インストールしたkippoディレクトリの中の utilsディレクトリの中にアクセスログを
有効活用するツールが入っています。

使うのは、playlog.py

引数にkippoが出力したログを指定すると、そのログを再生してくれます。
物は試しに、自身のkippoにアクセスしてログを残してみてください。

log/tty/の下にログが残ってますか?
(画像は実際に不正アクセスにあっているサーバーなので、
このディレクトリに大量のログが残っています。)

ではこれを相対パスで引数にして、実行してみましょう。

実行すると、このようにログを再生してくれます。

かくしてある所には、別サーバーのIPアドレスがかかれてます。
たぶんゾンビサーバーとして操られてる踏み台サーバーだと思います。。。

この人は、このサーバーにアクセスして
uname -a で名前を見て、rootディレクトリに移動して
wgetでスパイウェアを落として、実行しようとしてますね。

この様に、どんなユーザがどんな処理をしようとしているのかわかるので
(タイピングもそのまま再生してくれるので）見てるだけでおもしろいです

実際に今どんなアタックを受けているのかが分かります。
*正確にはアタックを受けてサーバーが乗っ取られたら何をされるかがわかります。

ハッキングにも作法があるらしく、ほぼ必ずログインしたユーザはwコマンドを試していたり
ユーザ名はrootがアタックされやすい事が統計でだせたり
パスワードは123456がアタックされやすいとかも、ログをとることで手に取るように分かります。

あまり詳しいクラッキング情報はだせませんが、彼を知り己を知れば百戦殆うからずという言葉があるように、クラッキング情報を集めると、システムセキュリティ的に強くなれるかもしれませんね!