www.morihi-soc.net

セキュリティの話題を中心に取扱中

Archive for the ‘Kippo’ Category

ハニーポット観察記録(25)

without comments

どうも.ハニーポッターの森久です.

今回は SSH ハニーポットの Kippo について再度紹介したいと思います.

 

参考動画:SSHハニーポット(Kippo)で採取した不正ログイン後の形跡2

以前の記事と同様に,インストールから起動までの流れを紹介します.

また私が作成した Kippo 向け環境作成スクリプトも公開したので,併せて紹介します.

Read the rest of this entry »

Written by morihisa

5月 22nd, 2015 at 11:30 pm

cut と awk はどちらが高速なのか

without comments

どうもハニーポッターです.

先日,社内の勉強会に参加しているときに,「Web サーバをのログを調査するときは,膨大な量のデータから欲しい情報を抽出して効率よく解析しなければならない」という話がありました.

抽出したい情報とは,たとえばアクセスのあったファイル名やアクセス元 IP アドレスなどですが,発表者の方は awk コマンドを使って抽出されていました.

で,ここで1つの素朴な疑問が.
「1行データの中から,特定のフィールドを抽出するだけなら awk コマンド使わなくてもよくね? cut コマンドで十分じゃね?」と.

疑問は検証しなければいけないので「大量データから情報を抽出するには cut コマンドと awk コマンドのどちらが高速か?」を調べてみました.


※この記事は「適材適所でコマンドを使うべきだ」というのが趣旨ですので,決してきのこ・たけのこの争いや,Emacs 対 Vim のエディタ闘争とは関係ありません.

Read the rest of this entry »

Written by morihisa

3月 9th, 2015 at 10:50 pm

OSUETA 攻撃 vs Kippo

without comments

SSH にはユーザ名を列挙される脆弱性があります.

通称 OSUETA 攻撃と呼ばれており,パスワード認証が有効になっている SSH サービスにおいて,実在するアカウントでは長いパスワード文字列を指定すると,認証エラーに時間がかかることを利用し,実際に存在するユーザ名を確認することができます.

参考
OpenSSH User EnumerationTime-Based Attack と Python-paramiko
sshによるユーザ列挙攻撃”osueta” (ろば電子が詰まっている)

そこで自称ハニーポッター(?)の私としては,SSH ハニーポットである Kippo に対して,OSUETA 攻撃を試行した場合どうなるか気になったので試してみました.

Read the rest of this entry »

Written by morihisa

6月 24th, 2014 at 6:11 pm

ハニーポット観察記録(14)

without comments

SSH ハニーポットの Kippo で不正ログイン後のコマンド実行されたログを採取しました.侵入者がどのようなコマンド実行をしたのか動画として Youtube にアップロードしています.

SSHハニーポット(Kippo)で採取した不正ログイン後の形跡2


※一部の情報を意図的に伏せています.

Read the rest of this entry »

Written by morihisa

11月 19th, 2013 at 6:32 pm

ハニーポット観察記録(11)

without comments

※2015年5月22日追記

Kippo のインストール方法について再度紹介した記事を作成しました.
こちらをご参照ください.

ハニーポット観察記録(25) http://www.morihi-soc.net/?p=483


Kippo という SSH ハニーポットのインストールについて説明します.

公式サイト

http://code.google.com/p/kippo/

Read the rest of this entry »

Written by morihisa

10月 30th, 2013 at 9:59 pm

ハニーポット観察記録(6)

without comments

今回,使用しているハニーポットについて,軽く説明しようかと思います.なお今回,動かしているハニーポットは次の5種類です.

  • Amun →低対話型ハニーポット

  • Nepenthes →低対話型ハニーポット

  • Dionaea →低対話型ハニーポット(Nepenthes の後継)

  • Glastopf → Web ハニーポット

  • Kippo → SSH ハニーポット

 

Read the rest of this entry »

Written by morihisa

10月 14th, 2013 at 9:33 pm

ハニーポット観察記録(3)

without comments

SSH ハニーポットの Kippo で不正ログイン後のコマンド実行されたログを採取しました.ログイン後の一部始終を動画として Youtube にアップロードしています.

http://www.youtube.com/watch?v=zQKm7jlC1rg

※一部の情報を意図的に伏せています.

Read the rest of this entry »

Written by morihisa

10月 11th, 2013 at 3:32 pm