www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(3)

SSH ハニーポットの Kippo で不正ログイン後のコマンド実行されたログを採取しました.ログイン後の一部始終を動画として Youtube にアップロードしています.

http://www.youtube.com/watch?v=zQKm7jlC1rg

※一部の情報を意図的に伏せています.

「sh-4.1$ ./playlog.py 20131011-ssh.log」と入力した後が,侵入者による不正ログイン後の一部始終です.入力文字列やタイミングもすべて再現されています.

 

見所(?)なポイント

  • ログイン直後に w コマンドを実行し,既にログインしているユーザを確認している.
  • perl コマンドを実行しようと試みている.
  • なぜかyumコマンドに固執している.(apt-get で perl をインストールすればいいのでは・・・)

Kippo で採取しているログには,SSH で不正ログイン直後にログアウトするというログが大量に残っています.これはおそらく SSH のログインブルート攻撃のツールを使用しているからではないかと推測しています.しかし今回は,明らかに人の手でコマンドを実行していることが読み取れます.またコマンドの実行履歴を残さないようにする unset を実行していなかったり,apt-get は使えるのに yum に固執したりと,不正ログイン後のコマンド実行に手馴れている様子が見られませんね.

 

なお今回は紹介していませんが,他の Kippo のログではログインして1行だけコマンドを実行し,即効でログアウトするという,手慣れた感のある不正ログインもありました.


こうやって不正ログインのログを眺めていると,自然と自分が普通にログインした直後にwコマンドで他のユーザがログインしていないか確認したり,last コマンドでログイン履歴を確認したりすようになりました.後,パスワードの使い回しダメ・ゼッタイ.

Written by morihisa

10月 11th, 2013 at 3:32 pm