ハニーポット観察日記(2019/01/20)
はじめに
こんにちは。cute_otterです。
今日もCowrieのログの簡易分析をお休みします。すみません。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/20 (日) 00:00~23:59 UTC(運用17日目)に取得したログの簡易分析です。
特徴
- 全てのアクセスのうち約85%がWebShellやphpMyAdminの探査でした。
- MASSCANによるスキャンを初めて観測しました。
概況
- 集計期間 : 2019/01/20 (日) 00:00~23:59 UTC
- 総アクセス件数 : 440 件 (前日比 +43 件)
- WebShellの探査 : 226 件
- phpMyAdminの探査 : 150 件
- トップページへのアクセス : 33 件
- Tomcatの管理ページに対するログイン試行 : 18 件
- Network Weathermapの探査 : 3 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 2 件
- WebDAVの探査 : 2 件
- WordPressのコンフィグファイルの探査 : 2 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 2 件
- ユニークIPアドレス件数 : 35 件 (前日比 +4 件)
- アクセス元の国数 : 22 カ国 (前日比 +10 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 406 | 1. | 369 | +37 | - |
2. | Brazil | 11 | 3. | 6 | +5 | - |
3. | United States | 3 | 2. | 7 | -4 | - |
4. | Russia | 2 | - | 0 | +2 | - |
5. | Czechia | 1 | - | 0 | +1 | - |
6. | Kenya | 1 | - | 0 | +1 | - |
7. | India | 1 | 7. | 1 | +-0 | - |
8. | Greece | 1 | - | 0 | +1 | - |
9. | Argentina | 1 | - | 0 | +1 | - |
10. | Lebanon | 1 | - | 0 | +1 | - |
11. | Japan | 1 | - | 0 | +1 | - |
12. | Armenia | 1 | - | 0 | +1 | - |
13. | Norway | 1 | - | 0 | +1 | - |
14. | Chile | 1 | - | 0 | +1 | - |
15. | Mexico | 1 | 6. | 1 | +-0 | - |
16. | Poland | 1 | - | 0 | +1 | - |
17. | Germany | 1 | 10. | 1 | +-0 | - |
18. | Nicaragua | 1 | - | 0 | +1 | - |
19. | Seychelles | 1 | 5. | 3 | -2 | - |
20. | Sweden | 1 | - | 0 | +1 | - |
21. | Mauritius | 1 | - | 0 | +1 | - |
22. | Indonesia | 1 | - | 0 | +1 | - |
- 2日連続で中国からのアクセス件数が300件を超えました。
アクセス先
アクセス先(上位20位+気になったもの)は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 26 | 1. | 37 | -11 |
2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 18 | 2. | 19 | -1 |
3. | トップページへのアクセス | GET / HTTP/1.0 | 7 | 132. | 2 | +5 |
4. | WebShellの探査 | POST /qq.php HTTP/1.1 | 5 | 10. | 3 | +2 |
5. | WebShellの探査 | GET /shell.php HTTP/1.1 | 4 | 9. | 3 | +1 |
6. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 4 | 3. | 4 | +-0 |
7. | WebShellの探査 | POST /xx.php HTTP/1.1 | 4 | 140. | 1 | +3 |
8. | WebShellの探査 | POST /conflg.php HTTP/1.1 | 4 | 4. | 4 | +-0 |
9. | WebShellの探査 | POST /q.php HTTP/1.1 | 4 | 69. | 2 | +2 |
10. | WebShellの探査 | POST /test.php HTTP/1.1 | 3 | 164. | 1 | +2 |
11. | phpMyAdminの探査 | GET /phpMyAdmin/index.php HTTP/1.1 | 3 | - | 0 | +3 |
12. | phpMyAdminの探査 | GET /web/phpMyAdmin/index.php HTTP/1.1 | 3 | 5. | 4 | -1 |
13. | phpMyAdminの探査 | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 3 | - | 0 | +3 |
14. | phpMyAdminの探査 | GET /www/phpMyAdmin/index.php HTTP/1.1 | 3 | 190. | 1 | +2 |
15. | phpMyAdminの探査 | GET /tools/phpMyAdmin/index.php HTTP/1.1 | 3 | 6. | 4 | -1 |
16. | phpMyAdminの探査 | GET /claroline/phpMyAdmin/index.php HTTP/1.1 | 3 | 107. | 2 | +1 |
17. | phpMyAdminの探査 | GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 | 3 | 7. | 4 | -1 |
18. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 2 | 15. | 2 | +-0 |
19. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 2 | 16. | 2 | +-0 |
20. | WebShellの探査 | GET /help.php HTTP/1.1 | 2 | 17. | 2 | +-0 |
... | ... | ... | ... | ... | ... | ... |
39. | WordPressのコンフィグファイルの探査 | GET /wp-config.php HTTP/1.1 | 2 | 193. | 1 | +1 |
... | ... | ... | ... | ... | ... | ... |
51. | Network Weathermapの探査 | GET /plugins/weathermap/editor.php HTTP/1.1 | 2 | 195. | 1 | +1 |
... | ... | ... | ... | ... | ... | ... |
162. | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
181. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 1 | 45. | 2 | -1 |
- アクセスの大半がWebShellやphpMyAdminの探査でした。
- MASSCANによるスキャンを初めて観測しました。
- アクセス先は
/
でした。 - User-Agentは
masscan/1.0 (https://github.com/robertdavidgraham/masscan)
でした。
- アクセス先は
WOWHoneypotで取得したログの簡易分析は以上です。