Cowrieのログ分析 (2019/02/23 - 2019/02/26)
Cowrieのログを見てみた。
まだログの見方がいろいろと分かっていないため、
とりあえずUser/Passwordあたりを見ていこうと思う。
2019/02/23 - 2019/02/26の間でログイン試行は、33317件あった。
こんなにも来るんですね…
全組み合わせは載せれないので、
とりあえず、いろいろと集計してみた。
・一意のUserの件数
1431件
・一意のPasswordの件数
1768件
・一意のUser/Passwordの件数
2409件
・一意のUsername = Passwordの件数
1106件
上位のUser 10件
| username | count | percent |
| root | 29160 | 87.522886 |
| nproc | 361 | 1.083531 |
| adm | 194 | 0.582285 |
| admin | 128 | 0.384188 |
| ubuntu | 121 | 0.363178 |
| 1234 | 96 | 0.288141 |
| 111111 | 96 | 0.288141 |
| test | 87 | 0.261128 |
| ftpuser | 87 | 0.261128 |
| 22 | 80 | 0.240118 |
上位のPassword 10件
| password | count | percent |
| admin | 28952 | 86.898580 |
| nproc | 361 | 1.083531 |
| 123456 | 164 | 0.492241 |
| 12345 | 81 | 0.243119 |
| 1234 | 73 | 0.219107 |
| 123 | 66 | 0.198097 |
| 111111 | 66 | 0.198097 |
| 65 | 0.195096 | |
| password | 60 | 0.180088 |
| aerohive | 58 | 0.174085 |
Userは
・管理者権限を狙っていると思われる admin、root
・よく用いられる機能名の ubuntu、ftpuser、oracle
・検証用っぽい?名前の test、1234、1111
などが多いですね。
Passwordは
・Userと同じ文字列
・password、qwertyなどのよくつかわれるであろうもの
が大半のようです。
nprocが多いのはなんでだろう?どこかで調べなくては…
頻度の多いユーザー名、パスワードを新しく登録して、分析を続けていこうとおもいます。
