Cada vez que me paro a mirar el log del Honeypot SSH que dejé montado en casa las 24 horas, me sorprendo de la cantidad de ataques que llegan, de los usuarios que se usan, en fin, es sorprendente ver como funciona. Así que vamos a mirar logs y hacer un parseo rápido.

Kippo que es el honeypot que estoy usando va guardando un log por día, ahora mismo tengo unos 6 archivos de log distintos así que ahora lo que voy ha hacer es contar la cantidad de logones fallidos del total de logs.

cat kippo.log | awk ‘/failed/ { print $5 }’ | grep -v on | wc -l

En una semana el resultado a sido de 4782 accesos de logon fallidos. ¿Increible no?

Ahora vamos al apartado de las Ip’s porque al intentar el acceso de logon, la IP queda registrada.

Para extraer la IP:

cat kippo.log.6 | awk ‘/HoneyPotTransport/ { print $3 }’ | cut -d “,” -f3 | grep -v SSH | cut -d “]” -f1 | sort -u

Han habido 7 IP’s implicadas en el ataque, de estas Ip, los ataques vienen de EStados unidos, de China, de Mongolia, y.. de ESPAÑA!

La lista de IP’s era:

116.114.20.148
173.255.246.112
199.127.103.157
203.34.37.16
211.154.224.238
37.157.249.167
80.103.180.135

Ahora pasamos a la parte de usuarios y password, empezamos

 cat kippo.log.6 | awk ‘/attempt/ { print $9 }’ | cut -d “[" -f2 | cut -d "]” -f1

La cantidad de combinaciones que se han usado es 4502

De estas combinaciones, la cantidad de usuarios únicos ha sido de 3744

Para la parte de contraseñas se han usado 4034

En la parte de RDP, que también dejé capturando que llegaba, también han habido resultados

Las ip’s registradas son:

112.64.207.90
12.198.222.17
125.211.197.142
184.105.139.216
204.140.27.133
211.191.168.25
229.143.195.200
2.50.27.150
82.144.67.181

Son Ip’s procedentes de Rusia, China, Emiratos Árabes etc..

Dentro de poco tengo pensado montar otro tipo de Honeypot, de parte web por ejemplo. Será una buena fuente de información