ハニーポット観察日記(2019/01/17)
はじめに
こんにちは。cute_otterです。
Cowrieの調子が戻ってきたので、明日からログの簡易分析を始められそうです。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/17 (木) 00:00~23:59 UTC(運用14日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/17 (木) 00:00~23:59 UTC
- 総アクセス件数 : 1075 件 (前日比 +1056 件)
- WebShellの探査 : 749 件
- phpMyAdminの探査 : 231 件
- Tomcatの管理ページに対するログイン試行 : 31 件
- トップページへのアクセス : 25 件
- Gitのコンフィグファイルの探査 : 9 件
- Network Weathermapの探査 : 6 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 3 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 3 件
- Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 : 3 件
- WebDAVの探査 : 3 件
- WordPressのコンフィグファイルの探査 : 3 件
- SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 : 1 件
- その他 : 5 件
- ユニークIPアドレス件数 : 34 件 (前日比 +20 件)
- アクセス元の国数 : 18 カ国 (前日比 +11 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | China | 354 | - | 0 | +354 | - |
| 2. | Vietnam | 349 | - | 0 | +349 | - |
| 3. | Hong Kong | 331 | - | 0 | +331 | - |
| 4. | United States | 12 | 1. | 8 | +4 | - |
| 5. | Seychelles | 9 | 2. | 6 | +3 | - |
| 6. | Brazil | 5 | 7. | 1 | +4 | - |
| 7. | Italy | 2 | - | 0 | +2 | - |
| 8. | Argentina | 2 | - | 0 | +2 | - |
| 9. | Canada | 2 | - | 0 | +2 | - |
| 10. | Turkey | 1 | 3. | 1 | +-0 | - |
| 11. | Thailand | 1 | - | 0 | +1 | - |
| 12. | India | 1 | 5. | 1 | +-0 | - |
| 13. | Russia | 1 | - | 0 | +1 | - |
| 14. | Spain | 1 | - | 0 | +1 | - |
| 15. | Tanzania | 1 | - | 0 | +1 | - |
| 16. | Ecuador | 1 | - | 0 | +1 | - |
| 17. | Indonesia | 1 | - | 0 | +1 | - |
| 18. | Japan | 1 | - | 0 | +1 | - |
中国、ベトナム、香港からのアクセスが増加しました。
メソッド
メソッドの件数は以下の通りです。
| 順位 | メソッド | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | POST | 649 | - | 0 | +649 | - |
| 2. | GET | 422 | 1. | 19 | +403 | - |
| 3. | PROPFIND | 3 | - | 0 | +3 | - |
| 4. | HEAD | 1 | - | 0 | +1 | - |
HTTPバージョン
HTTPバージョンの件数は以下の通りです。
| 順位 | HTTPバージョン | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | HTTP/1.1 | 1069 | 1. | 12 | +1057 | - |
| 2. | HTTP/1.0 | 6 | 2. | 7 | -1 | - |
アクセス先
アクセス先(上位10位+気になったもの)は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 31 | - | 0 | +31 |
| 2. | トップページへのアクセス | GET / HTTP/1.1 | 20 | 3. | 5 | +15 |
| 3. | WebShellの探査 | POST /qq.php HTTP/1.1 | 12 | - | 0 | +12 |
| 4. | WebShellの探査 | POST /1.php HTTP/1.1 | 12 | - | 0 | +12 |
| 5. | WebShellの探査 | POST /confg.php HTTP/1.1 | 12 | - | 0 | +12 |
| 6. | WebShellの探査 | POST /test.php HTTP/1.1 | 9 | - | 0 | +9 |
| 7. | Gitのコンフィグファイルの探査 | GET /.git/config HTTP/1.1 | 9 | 2. | 6 | +3 |
| 8. | WebShellの探査 | POST /x.php HTTP/1.1 | 8 | - | 0 | +8 |
| 9. | WebShellの探査 | GET /shell.php HTTP/1.1 | 6 | - | 0 | +6 |
| 10. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 6 | - | 0 | +6 |
| ... | ... | ... | ... | ... | ... | ... |
| 30. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 3 | - | 0 | +3 |
| 31. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 3 | - | 0 | +3 |
| ... | ... | ... | ... | ... | ... | ... |
| 52. | WordPressのコンフィグファイルの探査 | GET /wp-config.php HTTP/1.1 | 3 | - | 0 | +3 |
| ... | ... | ... | ... | ... | ... | ... |
| 67. | Network Weathermapの探査 | GET /plugins/weathermap/editor.php HTTP/1.1 | 3 | - | 0 | +3 |
| 68. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 3 | - | 0 | +3 |
| ... | ... | ... | ... | ... | ... | ... |
| 300. | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 3 | - | 0 | +3 |
| ... | ... | ... | ... | ... | ... | ... |
| 317. | Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 | GET /struts2-rest-showcase/orders.xhtml HTTP/1.1 | 1 | - | 0 | +1 |
| 318. | Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 | GET /index.action HTTP/1.1 | 1 | - | 0 | +1 |
| 319. | Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 | GET /index.do HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。
