こんとろーるしーこんとろーるぶい

週末にカチャカチャッターン!したことを貼り付けていくブログ

HoneyPot

Canarytokensサービスを試してみた

ある調べものをしていたところ、Canarytokensというサービスがあることを知った。 canarytokens.org Canarytokensはカナリアトークンを生成するサービスであり、無料で利用できるほか、githubでソースコードやDockerfileが公開されているため自分でサービス…

Javaの安全でないデシリアライゼーションを狙った攻撃を観察する

私が運用しているハニーポットで「安全でないデシリアライゼーション (Insecure Deserialization)」を狙った攻撃を確認しました。 「安全でないデシリアライゼーション」はCTFでは頻繁に出題されますが、ハニーポットで観測するのは比較的珍しく、それもPHP…

Tomcatの管理機能に対するパスワードクラック後の攻撃を観察する

Apache Tomcatにはデフォルトで管理機能を持つmanagerアプリが配備されており/manager/htmlでアクセスできます。 認証方式にはBASIC認証を採用しています。 (なお、デフォルト設定ではローカルからのアクセスのみ許可する設定が入っています。) ハニーポッ…

WebShell型ハニーポットを設置してWebShellに対するスキャンを観察した(続)

前回の観察結果の続報です。 graneed.hatenablog.com 前回は、新規WebShell設置の攻撃3パターンと、その新規WebShellの稼働確認を観察しました。 稼働確認で終わってしまったのは、攻撃者の期待に沿ったレスポンスを返却しなかったためと推測されます。 実は…

WebShell型ハニーポットを設置してWebShellに対するスキャンを観察した

久しぶりにハニーポットのネタです。 タイトルが全てですが「最近、WebShell設置の調査に対するスキャン多すぎない?」と思ったのが発端。 WebShell設置の調査に対するスキャンとは、適当なファイル名のphpファイルに対して、HTTPリクエストボディにdie(@md5…

HoneyTrapで流行りの脆弱性に対する攻撃を観察する

OSやミドルウェアの脆弱性が公開された際に、その脆弱性に対する攻撃やスキャンが発生しているか、自分のハニーポットで確認してみたいケースがあります。 今回は、現在T-Potを運用していて、そういった思いを持った人向けの記事です。 1. 背景、課題 2. 方…

phpMyAdminを狙った攻撃を深追いしてみた

ハニーポットを運用していると、phpMyAdminを狙った攻撃が多すぎて辟易とします。 攻撃といっても、/phpMyAdmin/index.php、/phpmyadmin/index.php、/PMA/index.php等のURIにGETリクエストを発行し存在確認して、それっきりでした。 「こいつら存在確認ばか…

我が家のハニポがお客様からどう見えているのか観察してみた

子どもと同じで、手塩にかけて育てた自分のハニーポットは可愛いもの。 「我が家のアイドル(ハニポ)は、 こんなに可愛い(主要ポートがガバガバな)のだから、 もっとスカウト(攻撃)が来てもええやろ!」 と思いがちですが、そもそも、攻撃者を始めとする外部…

KibanaにWOWHoneypot用ダッシュボード作成

前回の続きです。 graneed.hatenablog.com WOWHoneypotのログをELKに取り込みました。 今回はKibana上でWOWHoneypotのログを観察するためのダッシュボードを作成します。 1. Searchの作成 2. Visualizeの作成 3. Dashboardの作成 4. インポートファイルの紹…

T-PotのELK環境へWOWHoneypotログ取り込み

[更新履歴] 2018/06/30 WOWHoneypotのログからdest_portをELKに連携するようにlogstash.confを変更。 前回の続きです。 graneed.hatenablog.com T-Potは、各ハニーポットのログをELKスタックに取り込んでビジュアライズしています。前回、WOWHoneypotをT-Pot…

T-PotにWOWHoneypot組み込み+SSL対応

[更新履歴] 2018/06/30 SSL版WOWHoneypotのログに記録されるport番号を443に変更。 (@kanpapaさん、ご指摘ありがとうございます) T-Potでは、HTTP(80番ポート)へのアクセスはglastopf、HTTPS(443番ポート)へのアクセスはDionaeaが受け付けています。 本記事…

Amazon EC2(t2.medium)でT-Pot構築(その3)

その2の続きです。 graneed.hatenablog.com 前回まででインストールは完了しましたが、ギリギリの性能であるため、放っておくと問題が発生します。 ここではチューニング方法を記載します。 1. Swap領域の有効化 2. ログ保存期間短縮によるディスク使用量の…

Amazon EC2(t2.medium)でT-Pot構築(その2)

その1の続きです。 graneed.hatenablog.com 1. Ubuntuの初期セットアップ 1.1. SSHログイン、OSユーザの変更 1.2. タイムゾーンの変更 1.3. パッケージ更新 1.4. 時刻同期設定 2. T-Potのインストール 3. セキュリティグループの設定 3.1. 運用向け公開設定 …

Amazon EC2(t2.medium)でT-Pot構築(その1)

Amazon EC2にT-Pot環境を構築したので、その手順をまとめます。 今回が初めてのAWS利用で、些細なところに右往左往したため、 同じくAWSを触ったことない人向けに、アカウント開設から一気通貫で書きます。 一から始める人に優しい内容になっているはず。 ま…