秋なのでWOWHoneypotを導入した

WOWHoneypot(https://github.com/morihisa/WOWHoneypot)

設定は https://qiita.com/hogehogehugahuga/items/cad931485f58ae487d53 を参考に。変えたところはユーザー名くらいです(wowで設定するのが若干怖かったので)。確かCowrieを入れる時にPython2を入れていたので競合まわりどうしようかなと思ったのですが、今のところは特に問題なく動いています。

設定して13分くらいでやってくるのはちょっとビビりますね。

GET http://[中国のIP]:[5桁ポート]/Ip/Up?Ip=[自サーバのIP]&Port=80&Check=146&Order=[アクセス元IP] HTTP/1.1" 200 -

起動確認みたいな形で、結局13分おきくらいに通信してきます。

--

ついでにcowrieのuserdb.txtの内容も更新しました。ここ数か月分のログインの内、失敗したものをピックアップしてsedで整形して追記、みたいな形で。cawrie.logに対して「grep "login attempt"」とかしてあげればさくっと一覧可能です。そこからfailedだけ取り出したうえで、「/」を「:x:」とかに置換すればそのままuserdb.txtに転用可能です。

 ログイン試行だけ見ていても面白いですね。ususarioとかなんだろうと思って見たらスペイン語でユーザって意味だったとか、明らかに日本語ユーザーを辞書に攻撃を仕掛けてきたりとか。minecraftとかを狙っていたりとか。

置かれたファイルはminerだったりが多かったですね。XMRの設定やら、後はスクリプト系で面白かったのは
#This step will protect your server from other Trojans hack
                mv /usr/bin/wget /usr/bin/get
って書いてあるやつでした。人のwgetを変えないで欲しい。