Cowrieのログ分析 (2019/02/23 - 2019/02/26)
Cowrieのログを見てみた。
まだログの見方がいろいろと分かっていないため、
とりあえずUser/Passwordあたりを見ていこうと思う。
2019/02/23 - 2019/02/26の間でログイン試行は、33317件あった。
こんなにも来るんですね…
全組み合わせは載せれないので、
とりあえず、いろいろと集計してみた。
・一意のUserの件数
1431件
・一意のPasswordの件数
1768件
・一意のUser/Passwordの件数
2409件
・一意のUsername = Passwordの件数
1106件
上位のUser 10件
username | count | percent |
root | 29160 | 87.522886 |
nproc | 361 | 1.083531 |
adm | 194 | 0.582285 |
admin | 128 | 0.384188 |
ubuntu | 121 | 0.363178 |
1234 | 96 | 0.288141 |
111111 | 96 | 0.288141 |
test | 87 | 0.261128 |
ftpuser | 87 | 0.261128 |
22 | 80 | 0.240118 |
上位のPassword 10件
password | count | percent |
admin | 28952 | 86.898580 |
nproc | 361 | 1.083531 |
123456 | 164 | 0.492241 |
12345 | 81 | 0.243119 |
1234 | 73 | 0.219107 |
123 | 66 | 0.198097 |
111111 | 66 | 0.198097 |
65 | 0.195096 | |
password | 60 | 0.180088 |
aerohive | 58 | 0.174085 |
Userは
・管理者権限を狙っていると思われる admin、root
・よく用いられる機能名の ubuntu、ftpuser、oracle
・検証用っぽい?名前の test、1234、1111
などが多いですね。
Passwordは
・Userと同じ文字列
・password、qwertyなどのよくつかわれるであろうもの
が大半のようです。
nprocが多いのはなんでだろう?どこかで調べなくては…
頻度の多いユーザー名、パスワードを新しく登録して、分析を続けていこうとおもいます。