SSHに辞書攻撃して、サーバに侵入しようと試みるクラッカーの動向を追うために、ssh用のハニーポットを導入してみた。
名前は「Kippo」。
インストール手順はsshハニーポットをkippoで作ってみる を参考にさせていただいた。
構成としては以下のとおり。
1 | ┌──────────────┐ │ Cracker │ └──────┬───────┘ │ │ port:22 │ │ ▼ ┌───────────────────┐ │ firewalld │ │ ↓ │ │ portfoward-to: │ │ 22222 │ │ ↓ │ │ Kippo │ └───────────────────┘ |
firewalld でポートフォワードは こちら を参照されたし。
運用して数日、こんなログが採取されました。
1 | 2015-06-29 20:25:36+0900 [SSHService ssh-userauth on HoneyPotTransport,442,43.255.189.44] login attempt [root/msdn5meu] failed 2015-06-29 20:25:38+0900 [SSHService ssh-userauth on HoneyPotTransport,443,43.255.189.44] login attempt [root/norberta] failed 2015-06-29 20:25:39+0900 [SSHService ssh-userauth on HoneyPotTransport,443,43.255.189.44] login attempt [root/kkennedy] failed 2015-06-29 20:25:40+0900 [SSHService ssh-userauth on HoneyPotTransport,443,43.255.189.44] login attempt [root/adelia12] failed 2015-06-29 20:25:42+0900 [SSHService ssh-userauth on HoneyPotTransport,444,43.255.189.44] login attempt [root/patrizio] failed 2015-06-29 20:25:43+0900 [SSHService ssh-userauth on HoneyPotTransport,444,43.255.189.44] login attempt [root/cyber518] failed 2015-06-29 20:25:45+0900 [SSHService ssh-userauth on HoneyPotTransport,444,43.255.189.44] login attempt [root/pussy22] failed 2015-06-29 20:25:47+0900 [SSHService ssh-userauth on HoneyPotTransport,445,43.255.189.44] login attempt [root/mgcarles] failed |
ログインを試みたアカウント名はroot。パスワードは7-8桁で辞書っぽい。43.255.189.44 香港から来てる。
クラッカーの実行した結果は Kippoに付属している playlog.py を使って再生することが出来る。
今回はそのうちの一つを公開。