25230 メンバーの @htop が最近、設置したハニーポットの結果を共有しました。

この投稿はとても興味深いと思いました。 「マシンはほぼ毎秒攻撃を受けている」とのことです。そこで、自分でも書いて、マシンにインストールして他の人の攻撃行動を収集してみました。そして、シンプルなハニーポットアプリケーションに相当する、表示用のシンプルなウェブページを作成しました。効果は抜群のようです。

「ハニーポット」とは、一見正当なサーバー、アプリ、またはシステムに見えるものの、実際には潜在的な攻撃者をガスライティングする偽のサーバー、アプリ、またはシステムのことです。ハニーポットには様々な用途があります。例えば、脆弱なサーバー、アプリ、メールアカウントなどを偽装することで、新たな攻撃、脆弱性、スパムの兆候を察知するカナリアとして機能することができます。

今回のケースでは、@htop はパスワードを取得するために sshd バイナリを改変しました。通常、sshd は失敗したログインを記録しません（豆知識：Linux 0.1 頃は、失敗したユーザーとそのユーザーが使用しようとしたパスワードが syslog に記録されていました）。そして、すべての失敗した試行がこのウェブページで公開されます。

サーバーを運用した経験があれば、syslog に多数のログイン失敗ログが記録されているのを見たことがあるでしょう。スクリプトキディは、脆弱なパスワードを使用しているアカウントがないか確認するために、数百、数千、数百万もの IP アドレスを試行します。これに対処するにはいくつかの方法があります。パスワード認証を無効にするのが最善ですが、fail2ban を使用して、攻撃者が数回の試行で IP アドレスをブロックできるようにすることもできます。SSH ポートを変更してもセキュリティは向上しませんが、ログスパムの削減のためによく行われます。

@htop が収集したデータを見ると、よくある悪いパスワードが試されていることがわかります。「manager123」、「sysop」、「qwerty123!」、「00000000」など。まだ「monkey1」が使われているのを見たことはありませんが、いずれ出てくるでしょう。