ハニーポットの観測(T-Pot:2023/2/4~)Observation of Honeypot

Linux
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

今週は、ハニーポットの調子が悪く、2月6日18:00~2月9日18:00の間観測ができませんでした。残念です。ただ、この間にグローバルIPアドレスの変更がありました。正確な時間はわかりませんが大まかに以下のような感じです。

This week, the honeypot was in a bad condition, and no observations were made from 18:00 on February 6th to 18:00 on February 9th. That's too bad. However, there was a change in the global IP address during this time. I don't know the exact time, but it's roughly like this.
時間(JST)
<time>
根拠
<basis>
出来事
<events>
グローバルIP
<Global IP>
2/6 18:00ハニーポットのデータ
<HonyePot Data>
観測が途切れる
(気づいたのは 2/9 18:00 )
<obserbation is interrupted.
I noticed 2/9 18:00>
旧アドレス
<old address>
2/6 20:00サーバーログ
<server log>
旧のグローバルIPアドレス確認の最後
この後は途切れている
<old global IP address comfirmation end
after this it will be cut off>
旧アドレス
<old address>
2/7 11:00 警備会社の出動
<Security company dispatched>
うちの通信障害で警備機器を再起動
(グローバルIPアドレスが変わったから?)
<Restart security equipment due to communication failure at home.
Because the global IP address has changed?>
2/7 21:10ルーター
<Router>
ログからグローバルIP変更がわかる
<The change of the global IP address was found from the log>
新アドレス
<new address>
2/9 18:00t-pot不具合を確認
<onfirm the defect of t-pot>
T-Potが観測できてないことに気づく。
再起動をする。
<Notice that the T-Pot cannot be observed.
reboot>
新アドレス
<new address>
2/9 23:02Censys新グローバルIPをハニーポットと検出
<Detected new global IP address as honeypot>
新アドレス
<new address>
2/10 05:36Shodan新グローバルIPをハニーポットと検出
<Detected new global IP address as honeypot>
新アドレス
<new address>

 今回グローバルIPアドレスの変更されたあたりに、警備会社の機器に通信障害が起こり、警備員さんが修理しに来ました(正確には、再起動のみ)。実は、前回のグローバルIPアドレス変更時にも同じようなことがありました。そのとき、次のグローバルIPアドレス変更時は色々と調べようと、サーバーにグローバルIPアドレス変更の記録をしておいて、いろいろ観測しようとしていたのですが、T-Potの入っているサーバー自体に不具合が出て、うまく機能しませんでした。次はもっとうまくできればと思います。

When the global IP address was changed this time, a communication failure occurred in the security company's equipment, and the security guard came to repair it (exactly, just restart).Actually, the same thing happened when I changed the global IP address last time.At that time, in order to investigate various things when the global IP address changed next time, I recorded the global IP address change on the server and tried to observe various things, but the server itself containing the T-Pot I had a problem and it didn't work. I hope I can do better next time.

 さて、それでも今回の出来事で分かったことは、グローバルIPアドレスの変更があったのは2月の6日か7日のどちらかで、Censysがハニーポットとして観測したのが遅くとも2月9日23:02です。Shodanは2月10日5:36です。どちらも3,4日でハニーポットとして検出されていました。双方がどれほどの間隔で観測をしているのかわからないので、この結果だけでどちらが早いとはいいがたいですが、ハニーポットと検出されるのは意外に早いと感じました。

Well, even so, what we learned from this event is that the global IP address was changed on either February 6th or 7th, and Censys observed it as a honeypot on February 9th23:02 at the latest.Shodan is February 10th at 5:36.Both of them were detected as honeypots in 3-4 days.I don't know how often the two are observing each other, so it's hard to say which one is faster based on this result alone, but I felt that it was surprisingly early to detect it as a honeypot.

今週のアクセス数上位国 Top countries accessed this week

今週の攻撃IDパスワード Attack ID & password of the week

一週間の出来事

2/4三重県は、委託先である三重県観光事業者等支援共同事業体が運営するクーポン事務局において、2月3日に送信したメールで、BCCで送信するところ、通常の宛先に入れた状態で送信したことにより、メールアドレスが流出したと発表した。2/6
SecurityNext
2/6AquaSecurityRedisサーバーを攻撃する「HeadCrab」で1200台超が侵害されていることを明らかにした。2/6
マイナビ
2/7秋田県でプロバイダー事業を展開するNPO法人きたうら花ネットは、ランサムウェアに感染したことを明らかにした。
2023年2月4日 未明、Webサーバーが不正アクセスを受けサービスに影響。
同年2月6日 対策チームによりランサムウェアによるものであることが判明。
      秋田県警に被害届。
同年2月9日 午前1時、一部のWebサーバー復旧。順次回復作業中。
2/27
SecurityNext
2/8Microsoftは、2月8日の朝から「Microsoft Teams」に不具合が発生し、一時的に会議に参加できない状態になっていたと明らかにした。そのほかMicrosoft365にも不具合が発生しているという。2/9
ITmedia
2/8ニューメディアプラザ山口は、イベント参加者へのメール配信の際、BCCではなくToでメール送信したと明らかにした。2/17
SecurityNEXT
2/86社に1社が身代金に応じる今、中堅・中小企業はランサムウェアにどう立ち向かうか2/8
ITMedia
2/9SentinelOneはAWSのマルバタイジングキャンペーンが見つかったと明らかにした。通常Google検索をすると、広告が最初にでてくる。その機能を利用して、Google検索で「AWS」を検索すると、フィッシングサイトに誘導される広告(マルバタイジング)が最初に出てくるという。本来のAWSに似せて作ってあるので、パッと見た限りではわからない。2/11
ITmedia
2/9明治大学は、2022年7月25日から複数回にわたり、教育研究システムのサーバーに対し、第三者から攻撃が行われ、36,692件のメールアドレスが窃取された可能性があることが判明したと明らかにした。VPNアカウントを不正に利用して何らかの方法で不正なプログラムをリモート実行されていたことが分かった。2/16
SecurityNext
2/10群馬県は、「群馬県DX産業人材育成支援事業」のシステムにおいて講座受講生の個人情報(氏名、メールアドレス)が流出したことを明らかにした。ファイル共有システムの設定ミスが原因という。2/27
SecurityNext

コメント