読者です 読者をやめる 読者になる 読者になる

セキュリティ日進月歩

情報セキュリティについてもうちょっと詳しくなるために。あとdocker

sshハニーポット「kippo」を動かしはじめて4日ほど経つ

「kippo」導入から4日。2017年3月21日の夜をスタート地点として、ここまでで4日経つ。

 

丸々四日でどれだけのIPアドレスからのチャレンジが来たのか?

 

具体的には、kippo.logより、「New connection」のログについて、IPアドレスのuniqな個数を算出した。

 

143である。一日にしては、÷4で35ぐらいである。

 

ということは、普通にwebを公開している場合、sshを間違って開けていれば、宣伝していまいが、それくらいのアタックが来るということになる。例えばあまり対策をせずに有名ブロガーになってしまって、アクセス先が多くの人間に知れ渡っている場合、こんな数じゃないはずだ(イケハヤ氏のように、ヘイト値の高いブロガーなら攻撃者のテンションは計り知れない)。

 

つまり、sshを22番でわかりやすく開けているのはとても危険だ。

 

また、ログを見て行くと、パスワードに、「1234」とか、「system」とか、「passw@rd」とか、いわゆる辞書攻撃的なものが並ぶ。ありきたりなパスワードにしている場合、数日で突破されるだろう。

※「root/rasberrypi」とかいうのもあったが、これはラズパイのデフォとかなのかな?

 

まず思いつく調査項目として、何がなされているのか(攻撃手法)、どこからなされているのか(攻撃者情報)を調べたい。