7月のハニーポットログについて深掘りをしていきます。
7月のハニーポットのレポートは下記記事よりご覧ください。
honey-pot-report.hatenablog.com
7月ステータスコード別アクセスログ
7月のアクセスについてHTTPステータスコードをソートすると下記になります。
多いのは200レスポンスと単純にリクエストに対してOK出しています。
攻撃者としてはこのコマンド通してるやん。
このサイト色々仕掛けておこ〜とか思うのでしょう。
(ほとんどがランダムに無差別なアタックですので、攻撃に明確な意思はほとんどないでしょう。)
そんな中最も多いのが401アクセスになります。
401レスポンスは認証失敗時に返すコードです。
つまり、不正ログインをしかけようとしていますね。
こに7月11日に行われた不正ログインの疑いのあるアクセスを調べていきます。
411 [2023-07-11 401
348 [2023-07-16 200
320 [2023-07-23 200
274 [2023-07-27 200
238 [2023-07-18 200
237 [2023-07-08 200
234 [2023-07-25 200
230 [2023-07-04 200
225 [2023-07-22 200
ちなみに7月の401アクセスの全てはこちらです。
411 [2023-07-11 401
2 [2023-07-12 401
2 [2023-07-05 401
1 [2023-07-27 401
1 [2023-07-21 401
1 [2023-07-17 401
1 [2023-07-16 401
1 [2023-07-15 401
1 [2023-07-14 401
1 [2023-07-13 401
1 [2023-07-10 401
ほとんどが7月11日じゃないかぁ〜!!!
7月11日のアクセスログ
7月11日のアクセスログを時間レベルで細かくみていきます。
時間でソートすると、125.137.152.108による犯行ということがわかります。
9時9分から9時16分までの約7分間に411回のアクセスを試みています。
1 [2023-07-12 04:35:48+0900] 118.126.124.10 401
1 [2023-07-11 09:16:47+0900] 125.137.152.108 401
・・・・・
・・・・・
・・・・・
1 [2023-07-11 09:09:13+0900] 125.137.152.108 401
1 [2023-07-11 09:09:12+0900] 125.137.152.108 401
1 [2023-07-11 09:09:11+0900] 125.137.152.108 401
1 [2023-07-11 04:15:09+0900] 118.126.124.10 401
IPアドレスはどこの?
不正ログインを試みるIPアドレスが特定できましたので、次はIPアドレスについて調べていきます。
IPアドレスを調べる際は下記サイトで調べます。
whois.apnic.net (アジア/太平洋圏)
% [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '125.128.0.0 - 125.159.255.255' % Abuse contact for '125.128.0.0 - 125.159.255.255' is 'irt@nic.or.kr' inetnum: 125.128.0.0 - 125.159.255.255 netname: KORNET descr: Korea Telecom admin-c: IM667-AP tech-c: IM667-AP country: KR → (韓国) status: ALLOCATED PORTABLE mnt-by: MNT-KRNIC-AP mnt-irt: IRT-KRNIC-KR last-modified: 2017-02-03T02:22:02Z source: APNIC irt: IRT-KRNIC-KR address: Jeollanam-do Naju-si Jinheung-gil e-mail: irt@nic.or.kr abuse-mailbox: irt@nic.or.kr admin-c: IM574-AP tech-c: IM574-AP auth: # Filtered remarks: irt@nic.or.kr was validated on 2020-04-09 mnt-by: MNT-KRNIC-AP last-modified: 2021-06-15T06:21:49Z source: APNIC person: IP Manager address: Gyeonggi-do Bundang-gu, Seongnam-si Buljeong-ro 90 country: KR → (韓国) phone: +82-2-500-6630 e-mail: kornet_ip@kt.com nic-hdl: IM667-AP mnt-by: MNT-KRNIC-AP last-modified: 2017-03-28T06:37:04Z source: APNIC % Information related to '125.128.0.0 - 125.159.255.255' inetnum: 125.128.0.0 - 125.159.255.255 netname: KORNET-KR descr: Korea Telecom country: KR → (韓国) admin-c: IA9-KR tech-c: IM9-KR status: ALLOCATED PORTABLE mnt-by: MNT-KRNIC-AP mnt-irt: IRT-KRNIC-KR remarks: This information has been partially mirrored by APNIC from remarks: KRNIC. To obtain more specific information, please use the remarks: KRNIC whois server at whois.kisa.or.kr. changed: hostmaster@nic.or.kr source: KRNIC person: IP Manager address: Gyeonggi-do Bundang-gu, Seongnam-si Buljeong-ro 90 address: KT Head Office country: KR → (韓国) phone: +82-2-500-6630 e-mail: kornet_ip@kt.com nic-hdl: IA9-KR mnt-by: MNT-KRNIC-AP changed: hostmaster@nic.or.kr source: KRNIC person: IP Manager address: Gyeonggi-do Bundang-gu, Seongnam-si Buljeong-ro 90 address: KT Head Office country: KR → (韓国) phone: +82-2-500-6630 e-mail: kornet_ip@kt.com nic-hdl: IM9-KR mnt-by: MNT-KRNIC-AP changed: hostmaster@nic.or.kr source: KRNIC % This query was served by the APNIC Whois Service version 1.88.16 (WHOIS-JP3)
韓国からのアクセスのようです。
住所が記載されているのでどこかみてみましょう。
Gyeonggi-do Bundang-gu, Seongnam-si Buljeong-ro 90 country
ここはソウル市内の企業のビルのようです。
e-mailアドレスも.comですので会社を表していますね。
Google地図ですとここです。
拡大してみてみましょう。
IPアドレスでは韓国からの刺客のようでした。
アクセス内容分析
どのようなアクセスを行ってきたか詳細ログから分析します。
ログのbase64エンコードされている文字列をデコードすると下記の結果になります。
GET /manager/html HTTP/1.1
Connection: Keep-Alive
Authorization: Basic YWRtaW46MTIz
/manager/html
にGETしていることから、管理者ページに行こうとしています。
また、YWRtaW46MTIzをデコードすると、
admin:111111%
初期パスワードであることを想定していますね。
他のアクセスも、
admin:123%
などとさまざまなパスワードによるアクセスを試みています。
ブルートフォースアタックと見ていいでしょう。
まとめ
今回は401アクセスが集中していた日時からIPアドレスを特定してどのようなアクセスをしているか見ました。
IPアドレスから韓国を特定し、アクセスは管理者ページへアクセスするためのブルートフォースアタックということがわかりました。
このブログではハニーポットのログ情報、ログ分析を中心にセキュリティに関する助法を発信していきます。
参考文献