ハニーポット観察日記(2019/01/13) 「3日連続でイベント件数が減少」
はじめに
こんにちは。cute_otterです。
国別のダウンロードされたファイルを調べたところ、国ごとの違いが現れたので、今後も追っていきたいです。
Cowrie
ハニーポット「Cowrie」で2019/01/13 (日) 00:00~23:59 UTC(運用61日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/13 (日) 00:00~23:59 UTC
- 総イベント件数 : 574,888 件 (前日比 -34,167 件)
- コマンド実行成功 : 226,446 件 (前日比 -25,354 件)
- コマンド入力 : 201,545 件 (前日比 -6,808 件)
- ファイルダウンロード成功 : 34,314 件 (前日比 -3,870 件)
- セッションクローズ : 28,225 件 (前日比 -280 件)
- 新しいコネクション : 28,225 件 (前日比 -296 件)
- コマンド実行失敗 : 15,726 件 (前日比 +3,115 件)
- ログイン成功 : 9,064 件 (前日比 +181 件)
- 外部へのTCP/IPリクエストの送出 : 7,521 件 (前日比 +346 件)
- Cowrieによってエミュレートされたアーキテクチャ : 5,889 件 (前日比 +114 件)
- TTYログ取得終了 : 5,889 件 (前日比 +128 件)
- ファイルダウンロード失敗 : 4,512 件 (前日比 +248 件)
- クライアントのSSHバージョン : 3,526 件 (前日比 +21 件)
- SSH鍵交換 : 3,513 件 (前日比 +16 件)
- ログイン失敗 : 323 件 (前日比 -1,285 件)
- 外部へのTCP/IPデータの送出 : 158 件 (前日比 -451 件)
- ターミナルサイズ : 6 件 (前日比 +2 件)
- クライアントの環境設定 : 6 件 (前日比 +6 件)
- ログイン試行 : 9,387 件 (前日比 -1,104 件)
- SSHコネクション : 12,181 件 (前日比 +63 件)
- Telnetコネクション : 16,044 件 (前日比 -359 件)
- ユニークIPアドレス : 500 件 (前日比 +103 件)
- アクセス元の国 : 60 件 (前日比 +3 件)
- TTY : 5,889 件 (前日比 +128 件)
- スキャンと思われるセッション : 17,475 件 (前日比 +44 件)
特徴
- 総イベント件数が減少しました。
- 前日より3万4,000件ほど減少しました。
- 3日連続の減少となりました。
- ログイン試行件数が減少しました。
- 前日より1,100件ほど減少しました。
- イタリアからのアクセス件数が大幅に減少しました。
- 前日より10万件ほど減少しました。
オランダ
からのアクセス件数が増加しました。- 前日より3万6,000件ほど増加しました。
- 12~16時、18時、20~21時にアクセスが集中していました。
ロシア
からのアクセス件数が増加しました。- 前日より1万3,000件ほど増加しました。
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数の変遷は以下の通りです。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 481,246 | 1. | 461,440 | +19,806 | - |
2. | Netherlands | 35,907 | 31. | 20 | +35,887 | - |
3. | United Kingdom | 16,115 | 3. | 16,172 | -57 | - |
4. | Russia | 14,348 | 9. | 1,400 | +12,948 | - |
5. | Ireland | 8,409 | 4. | 8,734 | -325 | - |
6. | Unknown | 5,769 | 5. | 5,754 | +15 | - |
7. | Singapore | 4,217 | 6. | 3,590 | +627 | - |
8. | Vietnam | 1,393 | 12. | 503 | +890 | - |
9. | Italy | 1,153 | 2. | 100,946 | -99,793 | - |
10. | Germany | 1,153 | 7. | 3,291 | -2,138 | - |
11. | China | 987 | 11. | 521 | +466 | - |
12. | Latvia | 731 | 10. | 1,211 | -480 | - |
13. | Romania | 590 | 13. | 476 | +114 | - |
14. | Poland | 497 | 27. | 35 | +462 | - |
15. | France | 371 | 18. | 185 | +186 | - |
16. | Egypt | 284 | 33. | 19 | +265 | - |
17. | Brazil | 270 | 20. | 125 | +145 | - |
18. | Sweden | 264 | 16. | 271 | -7 | - |
19. | India | 250 | 8. | 2,575 | -2,325 | - |
20. | Taiwan | 117 | 25. | 51 | +66 | - |
- 4日連続で全体的にアクセス件数が減少しました。本日も
イタリア
からのアクセス件数が大幅に減少しました。一方、アメリカ
、オランダ
、ロシア
からのアクセス件数が増加しました。 イタリア
からのアクセス件数が前日より10万件ほど減少しました。アメリカ
からのアクセス件数が前日より2万件ほど増加しました。オランダ
からのアクセス件数が前日より3万6,000件ほど増加しました。- 12~16時、18時、20~21時にアクセスが集中していました。
ロシア
からのアクセス件数が前日より1万3,000件ほど増加しました。- ロシアからのアクセスのうち約80%が13時に集中していました。
イタリアからのアクセス件数の変遷
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/13)は以下の通りです。
2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が6万件台まで減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、連日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。
2019/01/07~08にかけて件数が減少しましたが、2019/01/09~10にかけて30万件以上のアクセスがありました。
2019/01/11以降、3日連続で件数が減少しています。
国別のログイン試行
国別のログイン試行の件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 4,439 | 1. | 4,381 | +58 | - |
2. | United Kingdom | 1,807 | 2. | 1,720 | +87 | - |
3. | Ireland | 1,295 | 4. | 1,295 | +-0 | - |
4. | Netherlands | 793 | 25. | 4 | +789 | - |
5. | Russia | 305 | 6. | 157 | +148 | - |
6. | China | 149 | 9. | 65 | +84 | - |
7. | Singapore | 102 | 8. | 85 | +17 | - |
8. | Vietnam | 98 | 12. | 31 | +67 | - |
9. | Germany | 55 | 7. | 141 | -86 | - |
10. | France | 40 | 15. | 25 | +15 | - |
11. | Romania | 31 | 19. | 12 | +19 | - |
12. | Egypt | 27 | 34. | 2 | +25 | - |
13. | India | 26 | 3. | 1,401 | -1,375 | - |
14. | Italy | 26 | 5. | 932 | -906 | - |
15. | Brazil | 25 | 18. | 12 | +13 | - |
16. | Sweden | 23 | 14. | 26 | -3 | - |
17. | Latvia | 17 | 13. | 26 | -9 | - |
18. | Republic of Korea | 13 | 10. | 38 | -25 | - |
19. | Poland | 13 | 28. | 3 | +10 | - |
20. | Taiwan | 9 | 22. | 6 | +3 | - |
イタリア
からのログイン試行件数が前日より900件ほど減少しました。オランダ
からのログイン試行件数が前日より790件ほど増加しました。ロシア
からのログイン試行件数が前日より150件ほど増加しました。インド
からのログイン試行件数が前日より1,400件ほど減少しました。
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | admin | 3,261 | 1. | 3,175 | +86 | - |
2. | root | (空欄) | 332 | 5. | 307 | +25 | - |
3. | root | vizxv | 295 | 6. | 262 | +33 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
4. | root | 666666 | 261 | 7. | 253 | +8 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
5. | user | user | 242 | 12. | 208 | +34 | - |
6. | root | 888888 | 208 | 15. | 179 | +29 | Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照) |
7. | root | pass | 205 | 13. | 201 | +4 | Axis製のIPカメラを狙ったものと思われる(参照) |
8. | root | system | 203 | 16. | 174 | +29 | IQinVision製のIPカメラを狙ったものと思われる(参照) |
9. | root | 123456 | 201 | 14. | 180 | +21 | - |
10. | support | support | 180 | 17. | 168 | +12 | - |
11. | root | xc3511 | 168 | 18. | 163 | +5 | HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照) |
12. | root | 1234 | 164 | 19. | 153 | +11 | - |
13. | root | default | 163 | 24. | 134 | +29 | - |
14. | root | hi3518 | 163 | 21. | 144 | +19 | Xiongmai製のDVRを狙ったものと思われる(参照) |
15. | root | 12345 | 144 | 23. | 138 | +6 | - |
16. | admin | 4321 | 144 | 21. | 144 | +-0 | - |
17. | admin | admin1234 | 143 | 22. | 144 | -1 | - |
18. | root | taZz@23495859 | 143 | 36. | 30 | +113 | - |
19. | root | jvbzd | 128 | 25. | 104 | +24 | Xiongmai製のDVRを狙ったものと思われる(参照) |
20. | root | admin | 120 | 26. | 99 | +21 | - |
admin/admin
の組み合わせのほとんどがイギリス
とアイルランド
からのログイン試行の際に使用されていました。イギリス
が1,728件(3,261件中)、アイルランド
が1,228件(3,261件中)でした。
オランダからのログイン試行で使用されたユーザ名とパスワード
オランダからのログイン試行で使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 備考 |
---|---|---|---|---|
1. | root | taZz@23495859 | 94 | - |
2. | root | solokey | 77 | ZKSoftware製の端末を狙ったものと思われる(参照) |
3. | root | tsgoingon | 51 | - |
4. | telnetadmin | telnetadmin | 29 | - |
5. | root | default | 22 | - |
6. | root | ROOT500 | 22 | - |
7. | root | system | 22 | IQinVision製のIPカメラを狙ったものと思われる(参照) |
8. | user | user | 21 | - |
9. | root | zlxx. | 21 | EV ZLX製のスピーカーを狙ったものと思われる(参照) |
10. | root | antslq | 21 | - |
root/taZz@23495859
、root/solokey
、root/tsgoingon
の組み合わせが多く使用されていました。
ロシアからのログイン試行で使用されたユーザ名とパスワード
ロシアからのログイン試行で使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 備考 |
---|---|---|---|---|
1. | admin | admin | 134 | - |
2. | root | 88888888 | 15 | DVRを狙ったものと思われる(参照) |
3. | root | solokey | 12 | ZKSoftware製の端末を狙ったものと思われる(参照) |
4. | root | taZz@23495859 | 12 | |- |
5. | root | LSiuY7pOmZG2s | 9 | - |
6. | root | tsgoingon | 7 | - |
7. | admin | admin1 | 6 | - |
8. | support | 1234 | 6 | - |
9. | root | GM8182 | 6 | Grain Media製のDVRを狙ったものと思われる(参照) |
10. | telnetadmin | telnetadmin | 4 | - |
- ロシアからのログイン試行(305件)のうち1/3以上で
admin/admin
の組み合わせが使用されていました。
ダウンロードされたファイル
ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
順位 | ダウンロード元 | MD5 | 検出率(VT) | 件数 | 備考 |
---|---|---|---|---|---|
1. | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/57 | 2,993 | Mirai |
2. | hxxp://185[.]244[.]25[.]221:80/bins/Yowai[.]x86 | 040e062132964bcb4e1cdbd2667ac735 | 20/60 | 745 | Mirai |
3. | hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 | 256e4d3c013fe49c6166da2d3ba0c524 | 20/58 | 359 | Mirai |
4. | hxxp://213[.]183[.]45[.]247:80/bins/trojan[.]x86 | 74d8721a3a457ad92e91896415e35e0f | 13/58 | 90 | Mirai or Gafgyt |
5. | hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 | 0f6fa2e22d9de3864e7d60ed6c0cb4b5 | 33/56 | 90 | Mirai or Gafgyt |
6. | hxxp://89[.]46[.]223[.]247/8UsA[.]sh | 3dae78adf9f4a8520afb9ff9d701d3ab | 23/57 | 40 | Mirai(ダウンローダー) |
7. | hxxp://194[.]147[.]35[.]54:80/ankit/os[.]x86 | 6d34fc59a4c754dcf970244689ec5ac0 | 20/59 | 34 | Mirai |
8. | hxxp://199[.]38[.]243[.]9:80/bins/yakuza[.]x86 | fabad08996e58068d363312168d9fa33 | 21/60 | 27 | Mirai |
9. | hxxp://209[.]141[.]46[.]133/bins[.]sh | 5682bddae3a2946670a044e9e5d83e09 | 24/59 | 19 | Mirai(ダウンローダー) |
10. | hxxp://185[.]172[.]110[.]213/bins[.]sh | c3d5df1e99c83f3c5fa42371e2091121 | 24/59 | 14 | Mirai(ダウンローダー) |
11. | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 22/59 | 13 | Mirai |
12. | hxxp://185[.]244[.]25[.]233/8UsA[.]sh | 9a75838c7c303d7946dda48f41c72717 | 25/58 | 12 | Mirai(ダウンローダー) |
13. | hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 | 3906a2f9b3192664762e3f6eb84f4c18 | 27/59 | 12 | Mirai |
14. | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 21/57 | 9 | Mirai |
15. | hxxp://35[.]235[.]102[.]123:80/bins/telnet[.]x86 | 12747042919cf473e147c0201773bed9 | 22/59 | 9 | Mirai |
16. | hxxp://40[.]121[.]158[.]163/bins[.]sh | 004ab252790013630f865cf6eee5a74b | 17/58 | 8 | Mirai(ダウンローダー) |
17. | hxxp://80[.]211[.]4[.]5/update[.]sh | d680ab3adb5ca2f90d147196dd6088e5 | 16/57 | 6 | Mirai(ダウンローダー) |
18. | hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 | f81cb52b13c0ad74247db720ffe5fa36 | 24/59 | 5 | Mirai |
19. | hxxp://80[.]211[.]132[.]63:80/bins/dark[.]x86 | 4483f543a9d8ae8c8e27fd43780e13d4 | 16/59 | 5 | Mirai |
20. | hxxp://207[.]154[.]193[.]227:80/bins/Damien[.]x86 | aaa0378aaec2443251eae0c9049fb177 | 8/59 | 5 | Mirai |
21. | hxxp://80[.]211[.]250[.]29:80/AB4g5/Josho[.]x86 | 320807a392163205c2982d0fba817521 | 26/58 | 4 | Mirai |
22. | hxxp://104[.]248[.]114[.]222:80/bins/penthouse[.]x86 | c0bdcfb11515c1de5e3be7c0a417fb05 | 23/59 | 4 | Mirai |
23. | hxxp://40[.]121[.]158[.]163/bins[.]sh | 52ce6883e3951f3a08d95fe2838f0d85 | 5/58 | 4 | Mirai(ダウンローダー) |
24. | hxxp://80[.]211[.]250[.]29:80/AB4g5/Josho[.]x86 | 320807a392163205c2982d0fba817521 | 26/58 | 4 | Mirai |
25. | hxxp://209[.]141[.]57[.]94/8UsA[.]sh | 4533dca3b256c67eb1bd4aff8ea480a0 | 26/57 | 4 | Mirai(ダウンローダー) |
26. | hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido | 236cc078eb84e9e14f1112a52e74abc9 | 35/60 | 2 | Mirai |
27. | hxxp://80[.]211[.]132[.]63:80/bins/dark[.]x86 | fd4132ae2240bf805fa66de0e751067d | 23/57 | 2 | Mirai |
29. | hxxp://40[.]121[.]158[.]163/8UsA[.]sh | 6d030d72590043917304a1257fd823ce | 23/59 | 2 | Mirai(ダウンローダー) |
29. | hxxp://205[.]185[.]119[.]253:80/AB4g5/Josho[.]x86 | 1e0fdb2538703f442770206f5c101e28 | 19/57 | 2 | Mirai |
30. | hxxp://207[.]154[.]193[.]227:80/bins/Damien[.]x86 | 2157957e9c0823644602c33a114097e0 | 11/60 | 1 | Mirai |
31. | hxxp://185[.]246[.]154[.]139:80/bins/sora[.]x86 | 323d0579ad995588018de2717fa3e476 | 19/59 | 1 | Mirai |
- Miraiのダウンローダーが普段より多くダウンロードされていました。
国別のダウンロードされたファイル
オランダ
順位 | ダウンロード元 | MD5 | 検出率(VT) | 件数(当該/全体) | 備考 |
---|---|---|---|---|---|
1. | hxxp://185[.]244[.]25[.]221:80/bins/Yowai[.]x86 | 040e062132964bcb4e1cdbd2667ac735 | 20/60 | 745/745 | Mirai |
2. | hxxp://209[.]141[.]46[.]133/bins[.]sh | 5682bddae3a2946670a044e9e5d83e09 | 24/59 | 10/19 | Mirai(ダウンローダー) |
3. | hxxp://185[.]172[.]110[.]213/bins[.]sh | c3d5df1e99c83f3c5fa42371e2091121 | 24/59 | 10/14 | Mirai(ダウンローダー) |
040e062132964bcb4e1cdbd2667ac735
は全てオランダからのアクセスによるセッション中にダウンロードされていました。
ロシア
順位 | ダウンロード元 | MD5 | 検出率(VT) | 件数(当該/全体) | 備考 |
---|---|---|---|---|---|
1. | hxxp://213[.]183[.]45[.]247:80/bins/trojan[.]x86 | 74d8721a3a457ad92e91896415e35e0f | 13/58 | 90/90 | Mirai or Gafgyt |
2. | hxxp://194[.]147[.]35[.]54:80/ankit/os[.]x86 | 6d34fc59a4c754dcf970244689ec5ac0 | 20/59 | 34/34 | Mirai |
3. | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 21/57 | 9/9 | Mirai |
4. | hxxp://185[.]246[.]154[.]139:80/bins/sora[.]x86 | 323d0579ad995588018de2717fa3e476 | 19/59 | 1/1 | Mirai |
- 全てのファイルがロシアからのアクセスによるセッション中にダウンロードされていました。
IRCボット
2019/01/07~11にかけて観測したRaspberry Piを狙ったと思われるIRCボットを再び観測しました。
本日の件数は3件で、全て同じハッシュ値でした。
IRCボットのMD5ハッシュ値は以下の通りです。
MD5 : 742f247c9ff393f8daf2e1609f0d9506
詳細は過去記事を参照ください。
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
続いて、ハニーポット「WOWHoneypot」で2019/01/13 (日) 00:00~23:59 UTC(運用10日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/13 (日) 00:00~23:59 UTC
- 総アクセス件数 : 791 件 (前日比 +778 件)
- ユニークIPアドレス件数 : 29 件 (前日比 +17 件)
- アクセス元の国数 : 18 カ国 (前日比 +8 件)
特徴
コロンビア
、中国
、ブラジル
からのアクセスが増加しました。- Network Weathermapの探査を初めて確認しました。
- バックアップファイルの探査を初めて確認しました。
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Colombia | 354 | - | 0 | +354 | - |
2. | China | 248 | 9. | 1 | +247 | - |
3. | Brazil | 169 | 1. | 3 | +166 | - |
4. | Russia | 3 | - | 0 | +3 | - |
5. | Hong Kong | 2 | - | 0 | +2 | - |
6. | Singapore | 2 | - | 0 | +2 | - |
7. | Sweden | 2 | - | 0 | +2 | - |
8. | Bangladesh | 1 | - | 0 | +1 | - |
9. | United States | 1 | - | 0 | +1 | - |
10. | Slovakia | 1 | - | 0 | +1 | - |
11. | Argentina | 1 | - | 0 | +1 | - |
12. | Poland | 1 | - | 0 | +1 | - |
13. | India | 1 | - | 0 | +1 | - |
14. | Indonesia | 1 | 3. | 1 | +-0 | - |
15. | Spain | 1 | - | 0 | +1 | - |
16. | Thailand | 1 | - | 0 | +1 | - |
17. | Australia | 1 | - | 0 | +1 | - |
18. | Ukraine | 1 | - | 0 | +1 | - |
コロンビア
からのアクセス件数が前日より350件ほど増加しました。- 普段のアクセス件数は一桁台ですが、本日は354件となりました。
中国
からのアクセス件数が前日より250件ほど増加しました。ブラジル
からのアクセス件数が前日より170件ほど増加しました。
メソッド
メソッドの件数は以下の通りです。
順位 | メソッド | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET | 407 | 1. | 13 | +394 | - |
2. | POST | 381 | - | 0 | +381 | - |
3. | PROPFIND | 3 | - | 0 | +3 | - |
HTTPバージョン
HTTPバージョンの件数は以下の通りです。
順位 | HTTPバージョン | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | HTTP/1.1 | 787 | 1. | 12 | +775 | - |
2. | HTTP/1.0 | 4 | 2. | 1 | +3 | - |
アクセス先
アクセス先(上位10位+気になったもの)は以下の通りです。
順位 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET /manager/html HTTP/1.1 | 30 | - | 0 | +30 | Tomcatの管理ページに対するログイン試行 |
2. | GET / HTTP/1.1 | 19 | 1. | 9 | +10 | トップページへのアクセス |
3. | POST /confg.php HTTP/1.1 | 8 | - | 0 | +8 | WebShellの探査 |
4. | POST /qq.php HTTP/1.1 | 7 | - | 0 | +7 | WebShellの探査 |
5. | GET /cmd.php HTTP/1.1 | 6 | - | 0 | +6 | WebShellの探査 |
6. | POST /conflg.php HTTP/1.1 | 6 | - | 0 | +6 | WebShellの探査 |
7. | POST /1.php HTTP/1.1 | 6 | - | 0 | +6 | WebShellの探査 |
8. | GET /web/phpMyAdmin/index.php HTTP/1.1 | 6 | - | 0 | +6 | phpMyAdminの探査 |
9. | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 6 | - | 0 | +6 | phpMyAdminの探査 |
10. | GET /tools/phpMyAdmin/index.php HTTP/1.1 | 6 | - | 0 | +6 | phpMyAdminの探査 |
... | ... | ... | ... | ... | ... | ... |
22. | PROPFIND / HTTP/1.1 | 3 | - | 0 | +3 | Microsoft IIS 6.0の脆弱性CVE-2017-7269を狙った攻撃 |
23. | GET /webdav/ HTTP/1.1 | 3 | - | 0 | +3 | WebDAVの探査 |
... | ... | ... | ... | ... | ... | ... |
61. | GET /plugins/weathermap/editor.php HTTP/1.1 | 3 | - | 0 | +3 | Network Weathermapの探査 |
... | ... | ... | ... | ... | ... | ... |
151. | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 2 | - | 0 | +2 | Network Weathermapの探査 |
... | ... | ... | ... | ... | ... | ... |
314. | GET /upload/bank-icons/bank-gh.jpg HTTP/1.1 | 1 | - | 0 | +1 | 何かしらの探査? |
315. | GET /upload/bank-icons/bank_16.png HTTP/1.1 | 1 | - | 0 | +1 | 何かしらの探査? |
316. | GET hxxp://5[.]188[.]210[.]50/echo[.]php HTTP/1.1 | 1 | - | 0 | +1 | オープンプロキシの探査 |
... | ... | ... | ... | ... | ... | ... |
318. | GET /backup.tgz HTTP/1.1 | 1 | - | 0 | +1 | バックアップファイルの探査 |
- Network Weathermapの探査を初めて確認しました。
/upload/bank-icons/
以下に存在する画像ファイルの探査の意図は不明でした。- バックアップファイルの探査を初めて確認しました。
- このような不要なファイルは削除したほうが良いと思われます。
WOWHoneypotで取得したログの簡易分析は以上です。