概要
弊ハニーポットのログに記録されていたID/パスワードについて調べていた際に ThreatWar というサイトを見つけた。 ハニーポットで検知したログなどが公開されていサイトのようで、 SSH試行された ID/パスワードに加えてそれに紐づく実行コマンドや Proxy リクエスト、検体の情報などがリアルタイムに更新されていた。
TreatWar (追記:2020/03/19 時点でサイトが確認できなくなっていました。)
検体情報については攻撃者がハニーポット上で wget したものなどを集めているようで、VirusTotal にあがっていないものもいくつかあった。 概要ページのURLが SHA256 になっているのであるかないかの確認くらいなら容易にできそう。
ThreatWar について
サイトにある About によれば、セキュリティに関する研究プロジェクトということのようだが、 タイトルで調べても運営者の情報はまったく出てこず、どんな背景のあるサイトなのかは不明だった。
ThreatWar is a security research project focused on honeypot data and malicious activity on the internet.
サイトで取得しているのは以下の情報。
- SSH Attacks
- SSH Proxy requests
- Linux Malware
- ElasticSearch honeypot requests
- FTP honeypot requests
- Generic web server honeypot requests
ThreatWar に類似のサイト
「ThreatWar」で検索してもサイトに記載されている以外の情報は見つけられなかったが、 少し調べ方を変えると、同じようなディレクトリ構造をしているサイトが見つかった。(個人のサイトにつながるので詳細は割愛。)
その時点で既にアクセスできない状態になっていたが、タイトルから作成者と思われる個人サイトが分かった。 個人サイトの説明によると、作者はセキュリティに感心のある開発者でハニーポットサイトは Go と Rails で作られているとのこと。 github には関連すると思われるソースコードもあげられていた。
ただ、ThreatWar についての記載は見つけられず関連は不明。
出自が不明なのでご利用は慎重に
検索機能はないものの、ハニーポットのログがリアルタイムに更新されているのは利用方法によっては楽しそう。 ログインについては出自が不明なサイトなのでご利用は慎重に。
更新履歴
- 2018/08/28 新規作成
- 2019/03/21 一部記載の修正
- 2020/03/19 サイトが確認できなくなっている旨を追記