Cowrieのログを見てみた。

今回はloginして後、お客様(攻撃者)がよく打つコマンドを見てみようと思う。

よく入力されるコマンドTOP３は

1位のコマンドは何がしたいのでしょうか
cat /proc/cpouinfo
CPUの情報を見たい（まあわかる）

cat /proc/cpuinfo | grep name
CPUに何を使っているか調査（まあわかる）

cat /proc/cpuinfo | grep name | wc -l
wc!? CPUの数が知りたい？数を知ってどうするんだ？（なるほどわからん）
まあ、環境情報が欲しいのだと思うのですが…

そして私のcowrieではwcコマンドがなく、1位のコマンドは実行できていないようです。
もしかして、HoneyPotかどうか判断しているのかな？
また、lessコマンドもないみたいなので、どこかでできれば導入したいですね
(どうやってcowrieにコマンドを追加するのであろう？)

2位、3位はunameとlscpuコマンドでした。

とりあえず、お客様はログインできたらまず、
マシンの情報を調査するようです。

また、いくつかファイルがダウンロードされていたので、
どこかで分析しようと思います。