ハニーポット観察日記(2019/01/19)
はじめに
こんにちは。cute_otterです。
再びCowrieの調子が悪くなってしまったので、今日と明日のログの簡易分析はお休みします。すみません。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/19 (土) 00:00~23:59 UTC(運用16日目)に取得したログの簡易分析です。
特徴
- 前日よりアクセス件数が300件ほど増加しました。
- GPON Home Routerの脆弱性を利用した攻撃を初めて観測しました。
概況
- 集計期間 : 2019/01/19 (土) 00:00~23:59 UTC
- 総アクセス件数 : 397 件 (前日比 +277 件)
- WebShellの探査 : 177 件
- phpMyAdminの探査 : 140 件
- トップページへのアクセス : 39 件
- Tomcatの管理ページに対するログイン試行 : 19 件
- Gitのコンフィグファイルの探査 : 3 件
- Network Weathermapの探査 : 3 件
- SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 : 2 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 2 件
- WebDAVの探査 : 2 件
- DASAN Zhone Solutions製のGPON Home Routerの脆弱性(CVE-2018-10561)を利用した攻撃 : 1 件
- WordPressのコンフィグファイルの探査 : 1 件
- その他 : 6 件
- ユニークIPアドレス件数 : 31 件 (前日比 -26 件)
- アクセス元の国数 : 12 カ国 (前日比 -5 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | China | 369 | 1. | 79 | +290 | - |
| 2. | United States | 7 | 5. | 3 | +4 | - |
| 3. | Brazil | 6 | 2. | 13 | -7 | - |
| 4. | Netherlands | 5 | 17. | 1 | +4 | - |
| 5. | Seychelles | 3 | 3. | 9 | -6 | - |
| 6. | Mexico | 1 | - | 0 | +1 | - |
| 7. | India | 1 | 15. | 1 | +-0 | - |
| 8. | Turkey | 1 | - | 0 | +1 | - |
| 9. | Spain | 1 | - | 0 | +1 | - |
| 10. | Germany | 1 | - | 0 | +1 | - |
| 11. | Hong Kong | 1 | - | 0 | +1 | - |
| 12. | Colombia | 1 | - | 0 | +1 | - |
中国からのアクセスが前日より約300件増加しました。
アクセス先
アクセス先(上位10位+気になったもの)は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | トップページへのアクセス | GET / HTTP/1.1 | 37 | 1. | 104 | -67 |
| 2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 19 | - | 0 | +19 |
| 3. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 4 | - | 0 | +4 |
| 4. | WebShellの探査 | POST /conflg.php HTTP/1.1 | 4 | - | 0 | +4 |
| 5. | phpMyAdminの探査 | GET /web/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
| 6. | phpMyAdminの探査 | GET /tools/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
| 7. | phpMyAdminの探査 | GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
| 8. | Gitのコンフィグファイルの探査 | GET /.git/config HTTP/1.1 | 3 | 2. | 9 | -6 |
| 9. | WebShellの探査 | GET /shell.php HTTP/1.1 | 3 | - | 0 | +3 |
| 10. | WebShellの探査 | POST /qq.php HTTP/1.1 | 3 | - | 0 | +3 |
| ... | ... | ... | ... | ... | ... | ... |
| 13. | SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 | GET /.well-known/security.txt HTTP/1.1 | 2 | - | 0 | +2 |
| ... | ... | ... | ... | ... | ... | ... |
| 15. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 2 | - | 0 | +2 |
| 16. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 2 | - | 0 | +2 |
| ... | ... | ... | ... | ... | ... | ... |
| 45. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 2 | - | 0 | +2 |
| ... | ... | ... | ... | ... | ... | ... |
| 193. | WordPressのコンフィグファイルの探査 | GET /wp-config.php HTTP/1.1 | 1 | - | 0 | +1 |
| ... | ... | ... | ... | ... | ... | ... |
| 195. | Network Weathermapの探査 | GET /plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
| ... | ... | ... | ... | ... | ... | ... |
| 200. | DASAN Zhone Solutions製のGPON Home Routerの脆弱性(CVE-2018-10561)を利用した攻撃 User-AgentはYakuza/2.0でした。 |
POST /GponForm/diag_Form?images/ HTTP/1.1 | 1 | - | 0 | +1 |
- GPON Home Routerの脆弱性を利用した攻撃を初めて観測しました。
- 今回の攻撃では、CVE-2018-10562は利用されていませんでした。
GPON Home Routerの脆弱性を利用した攻撃のHTTPリクエストは以下の通りです。
POST /GponForm/diag_Form?images/ HTTP/1.1 User-Agent: Yakuza/2.0 Accept: */* Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded
WOWHoneypotで取得したログの簡易分析は以上です。
