ハニーポット観察日記(2019/01/14) 「コロンビアとブラジルからのアクセス件数が減少」
はじめに
こんにちは。cute_otterです。
Cowrieのログの取得がうまくいかなかったため、本日はWOWHoneypotのログの簡易分析のみとなります。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/14 (月) 00:00~23:59 UTC(運用11日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/14 (月) 00:00~23:59 UTC
- 総アクセス件数 : 268 件 (前日比 -523 件)
- ユニークIPアドレス件数 : 22 件 (前日比 -7 件)
- アクセス元の国数 : 12 カ国 (前日比 -6 件)
特徴
- アクセス件数が大幅に減少しました。
- 前日より520件ほど減少しました。
- 前日にアクセス件数が増加した
コロンビアとブラジルの件数が減少したことによるものです。
- 前日にアクセス件数が増加した
- 前日より520件ほど減少しました。
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | China | 247 | 2. | 248 | -1 | - |
| 2. | Brazil | 5 | 3. | 169 | -164 | - |
| 3. | United States | 3 | 9. | 1 | +2 | - |
| 4. | Indonesia | 3 | 14. | 1 | +2 | - |
| 5. | Bangladesh | 2 | 8. | 1 | +1 | - |
| 6. | Taiwan | 2 | - | 0 | +2 | - |
| 7. | Romania | 1 | - | 0 | +1 | - |
| 8. | Kyrgyzstan | 1 | - | 0 | +1 | - |
| 9. | Turkey | 1 | - | 0 | +1 | - |
| 10. | South Africa | 1 | - | 0 | +1 | - |
| 11. | Italy | 1 | - | 0 | +1 | - |
| 12. | Colombia | 1 | 1. | 354 | -353 | - |
中国からのアクセス件数は前日とほぼ同じでした。コロンビアからのアクセス件数が前日より350件ほど減少しました。ブラジルからのアクセス件数が前日より160件ほど減少しました。
メソッド
メソッドの件数は以下の通りです。
| 順位 | メソッド | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | GET | 142 | 1. | 407 | -265 | - |
| 2. | POST | 125 | 2. | 381 | -256 | - |
| 3. | PROPFIND | 1 | 3. | 3 | -2 | - |
HTTPバージョン
HTTPバージョンの件数は以下の通りです。
| 順位 | HTTPバージョン | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | HTTP/1.1 | 266 | 1. | 787 | -521 | - |
| 2. | HTTP/1.0 | 2 | 2. | 4 | -2 | - |
アクセス先
アクセス先(上位10位+気になったもの)は以下の通りです。
| 順位 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | GET / HTTP/1.1 | 20 | 2. | 19 | +1 | トップページへのアクセス |
| 2. | GET /manager/html HTTP/1.1 | 9 | 1. | 30 | -21 | Tomcatの管理ページに対するログイン試行 |
| 3. | POST /qq.php HTTP/1.1 | 3 | 4. | 7 | -4 | WebShellの探査 |
| 4. | POST /confg.php HTTP/1.1 | 3 | 3. | 8 | -5 | WebShellの探査 |
| 5. | GET / HTTP/1.0 | 2 | 21. | 4 | -2 | トップページへのアクセス |
| 6. | GET /shell.php HTTP/1.1 | 2 | 13. | 5 | -3 | WebShellの探査 |
| 7. | GET /cmd.php HTTP/1.1 | 2 | 5. | 6 | -4 | WebShellの探査 |
| 8. | POST /xx.php HTTP/1.1 | 2 | 14. | 5 | -3 | WebShellの探査 |
| 9. | POST /s.php HTTP/1.1 | 2 | 15. | 5 | -3 | WebShellの探査 |
| 10. | POST /q.php HTTP/1.1 | 2 | 16. | 5 | -3 | WebShellの探査 |
| ... | ... | ... | ... | ... | ... | ... |
| 19. | PROPFIND / HTTP/1.1 | 1 | 22. | 3 | -2 | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を狙った攻撃 |
| 20. | GET /webdav/ HTTP/1.1 | 1 | 23. | 3 | -2 | WebDAVの探査 |
| ... | ... | ... | ... | ... | ... | ... |
| 40. | GET /wp-config.php HTTP/1.1 | 1 | 45. | 3 | -2 | WordPressのコンフィグファイルの探査 |
| ... | ... | ... | ... | ... | ... | ... |
| 56. | GET /plugins/weathermap/editor.php HTTP/1.1 | 1 | 61. | 3 | -2 | Network Weathermapの探査 |
| 57. | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 1 | 151. | 2 | -1 | Network Weathermapの探査 |
| ... | ... | ... | ... | ... | ... | ... |
| 223. | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 1 | 232. | 2 | -1 | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を狙った攻撃 |
- 初観測の攻撃や特徴的な攻撃はありませんでした。
WOWHoneypotで取得したログの簡易分析は以上です。
