1週間のハニーポットのレポートをします。
試行錯誤でログ解析していますw
今週のアクセス数はこちら。
日時 |
アクセス件数 |
2022-01-04 |
16 |
2022-01-05 |
127 |
2022-01-06 |
146 |
2022-01-07 |
145 |
2022-01-08 |
225 |
2022-01-09 |
199 |
2022-01-10 |
213 |
2022-01-11 |
118 |
2022-01-12 |
75 |
2022-01-13 |
129 |
2022-01-14 |
103 |
2022-01-15 |
781 |
2022-01-16 |
57 |
1月15日に何が起きたのだ!?
アクセスが跳ね上がっています。
これは、細かく分析するしかないですね!!
しかし、その前に気づいてしまった。
さくらのVPSでサーバ監視設定をONにしておりました。
綺麗に自分のアクセス数が多いwww
ただし、昨日の781件は自分のping以外に何かしてきているので、見ていこうと思います。
下記コマンドでアクセスログを調べます。
awk '/^|/ {print $1,$3,$6,$7,$8}' access_log | sort | uniq -c | sort -rn | sed -e "s/\[//g"
ログのアクセスが最も多いのが661件です。
2番目に多いのが14件でした。
2番目に多い奴も攻撃によるものでしたが、1番多かったこいつは執拗に攻撃してます。
今回はこいつのフォーカスを当てます。
結果:
661 2022-01-15 212.192.246.142 /manager/html HTTP/1.1" 401
結果を見る限り、managerという単語とエラーがHTTPリクエストの401エラーですので、管理者権限を取ろうとしている攻撃と推測できます。
権限を奪取してサーバーを乗っ取ろうとしようとしていますねぇ。
攻撃用のサーバーに活用したり、情報を盗み取ろうとしてる感じでしょうかね。
参考:
ちなみにこのIPアドレスはオランダからです。
まぁIPはVPNとかで変えてきますから実際はどこからかは定かではないです。
はるばるオランダからようこそおいでくださいましたw
なかなか面白いログを取れた1週間でした。
参考文献: