気になるアクセスをログ分析　401アクセスの多いやつを分析せよ

7月のハニーポットログについて深掘りをしていきます。

7月のハニーポットのレポートは下記記事よりご覧ください。

honey-pot-report.hatenablog.com

7月ステータスコード別アクセスログ

7月のアクセスについてHTTPステータスコードをソートすると下記になります。

多いのは200レスポンスと単純にリクエストに対してOK出しています。

攻撃者としてはこのコマンド通してるやん。

このサイト色々仕掛けておこ〜とか思うのでしょう。

（ほとんどがランダムに無差別なアタックですので、攻撃に明確な意思はほとんどないでしょう。）

そんな中最も多いのが401アクセスになります。

401レスポンスは認証失敗時に返すコードです。

つまり、不正ログインをしかけようとしていますね。

こに7月11日に行われた不正ログインの疑いのあるアクセスを調べていきます。

411 [2023-07-11 401

348 [2023-07-16 200

320 [2023-07-23 200

274 [2023-07-27 200

238 [2023-07-18 200

237 [2023-07-08 200

234 [2023-07-25 200

230 [2023-07-04 200

225 [2023-07-22 200

ちなみに7月の401アクセスの全てはこちらです。

411 [2023-07-11 401

2 [2023-07-12 401

2 [2023-07-05 401

1 [2023-07-27 401

1 [2023-07-21 401

1 [2023-07-17 401

1 [2023-07-16 401

1 [2023-07-15 401

1 [2023-07-14 401

1 [2023-07-13 401

1 [2023-07-10 401

ほとんどが7月11日じゃないかぁ〜！！！

7月11日のアクセスログ

7月11日のアクセスログを時間レベルで細かくみていきます。

時間でソートすると、125.137.152.108による犯行ということがわかります。

9時9分から9時16分までの約７分間に411回のアクセスを試みています。

アクセス回数　日時　　　　　　 IPアドレス　ステータスコード

1 [2023-07-12 04:35:48+0900] 118.126.124.10 401

1 [2023-07-11 09:16:47+0900] 125.137.152.108 401

　・・・・・

1 [2023-07-11 09:09:13+0900] 125.137.152.108 401

1 [2023-07-11 09:09:12+0900] 125.137.152.108 401

1 [2023-07-11 09:09:11+0900] 125.137.152.108 401

1 [2023-07-11 04:15:09+0900] 118.126.124.10 401

IPアドレスはどこの？

不正ログインを試みるIPアドレスが特定できましたので、次はIPアドレスについて調べていきます。

IPアドレスを調べる際は下記サイトで調べます。

www.cman.jp

whois.apnic.net （アジア/太平洋圏）

% [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '125.128.0.0 - 125.159.255.255' % Abuse contact for '125.128.0.0 - 125.159.255.255' is 'irt@nic.or.kr' inetnum: 125.128.0.0 - 125.159.255.255 netname: KORNET descr: Korea Telecom admin-c: IM667-AP tech-c: IM667-AP country: KR　　　→　（韓国） status: ALLOCATED PORTABLE mnt-by: MNT-KRNIC-AP mnt-irt: IRT-KRNIC-KR last-modified: 2017-02-03T02:22:02Z source: APNIC irt: IRT-KRNIC-KR address: Jeollanam-do Naju-si Jinheung-gil e-mail: irt@nic.or.kr abuse-mailbox: irt@nic.or.kr admin-c: IM574-AP tech-c: IM574-AP auth: # Filtered remarks: irt@nic.or.kr was validated on 2020-04-09 mnt-by: MNT-KRNIC-AP last-modified: 2021-06-15T06:21:49Z source: APNIC person: IP Manager address: Gyeonggi-do Bundang-gu, Seongnam-si Buljeong-ro 90 country: KR　　　→　（韓国） phone: +82-2-500-6630 e-mail: kornet_ip@kt.com nic-hdl: IM667-AP mnt-by: MNT-KRNIC-AP last-modified: 2017-03-28T06:37:04Z source: APNIC % Information related to '125.128.0.0 - 125.159.255.255' inetnum: 125.128.0.0 - 125.159.255.255 netname: KORNET-KR descr: Korea Telecom country: KR　　　→　（韓国） admin-c: IA9-KR tech-c: IM9-KR status: ALLOCATED PORTABLE mnt-by: MNT-KRNIC-AP mnt-irt: IRT-KRNIC-KR remarks: This information has been partially mirrored by APNIC from remarks: KRNIC. To obtain more specific information, please use the remarks: KRNIC whois server at whois.kisa.or.kr. changed: hostmaster@nic.or.kr source: KRNIC person: IP Manager address: Gyeonggi-do Bundang-gu, Seongnam-si Buljeong-ro 90 address: KT Head Office country: KR　　　→　（韓国） phone: +82-2-500-6630 e-mail: kornet_ip@kt.com nic-hdl: IA9-KR mnt-by: MNT-KRNIC-AP changed: hostmaster@nic.or.kr source: KRNIC person: IP Manager address: Gyeonggi-do Bundang-gu, Seongnam-si Buljeong-ro 90 address: KT Head Office country: KR　　　→　（韓国） phone: +82-2-500-6630 e-mail: kornet_ip@kt.com nic-hdl: IM9-KR mnt-by: MNT-KRNIC-AP changed: hostmaster@nic.or.kr source: KRNIC % This query was served by the APNIC Whois Service version 1.88.16 (WHOIS-JP3)