cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/01/22)

ハニーポット観察日記(2019/01/22)

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
初観測のアクセスや意図が不明なアクセスの件数が普段より多めでした。

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/01/22 (火) 00:00~23:59 UTC(運用19日目)に取得したログの簡易分析です。

特徴

  • 以下のURIに対するアクセスを初めて観測しました。
    • /home.asp
    • /images/logo.gif
    • /fdsrwe
    • /qnfxcjqr
    • /currentsetting.htm
    • /winbox.png
    • /login.html
    • /device_description.xm
    • /current_config/passwd

概況

  • 集計期間 : 2019/01/22 (火) 00:00~23:59 UTC
  • 総アクセス件数 : 251 件 (前日比 +33 件)
    • WebShellの探査 : 125 件
    • phpMyAdminの探査 : 72 件
    • トップページへのアクセス : 28 件
    • Tomcatの管理ページに対するログイン試行 : 10 件
    • Network Weathermapの探査 : 2 件
    • Dahua製のネットワークカメラの探査と思われるアクセス(参照) : 1 件
    • Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 1 件
    • Netgear製のルーターの探査と思われるアクセス : 1 件
    • WebDAVの探査 : 1 件
    • WordPressのコンフィグファイルの探査 : 1 件
    • WordPress用のPortable phpMyAdmin脆弱性(CVE-2012-5469)を利用した攻撃 : 1 件
    • 不明 : 7 件
  • ユニークIPアドレス件数 : 26 件 (前日比 -7 件)
  • アクセス元の国数 : 12 カ国 (前日比 -3 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. China 230 1. 179 +51 -
2. Brazil 8 5. 4 +4 -
3. United States 2 6. 3 -1 -
4. India 2 13. 1 +1 -
5. Saudi Arabia 2 - 0 +2 -
6. Spain 1 7. 2 -1 -
7. Taiwan 1 - 0 +1 -
8. Mexico 1 - 0 +1 -
9. Kenya 1 - 0 +1 -
10. Colombia 1 - 0 +1 -
11. Italy 1 - 0 +1 -
12. Germany 1 - 0 +1 -
  • 中国からのアクセス件数が昨日より約50件増加しました。

アクセス先

アクセス先(上位20位+気になったもの)は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 24 1. 27 -3
2. Tomcatの管理ページに対するログイン試行 GET /manager/html HTTP/1.1 10 2. 18 -8
3. トップページへのアクセス GET / HTTP/1.0 2 162. 1 +1
4. トップページへのアクセス HEAD / HTTP/1.0 2 161. 1 +1
5. WebShellの探査 POST /w.php HTTP/1.1 2 - 0 +2
6. WebShellの探査 POST /sheep.php HTTP/1.1 2 53. 1 +1
7. phpMyAdminの探査 GET /phpMyadmi/index.php HTTP/1.1 2 144. 1 +1
8. WebShellの探査 GET /shell.php HTTP/1.1 2 40. 1 +1
9. WebShellの探査 GET /cmd.php HTTP/1.1 2 6. 2 +-0
10. WebShellの探査 POST /xx.php HTTP/1.1 2 7. 2 +-0
11. WebShellの探査 POST /s.php HTTP/1.1 2 52. 1 +1
12. WebShellの探査 POST /qq.php HTTP/1.1 2 3. 3 -1
13. WebShellの探査 POST /conflg.php HTTP/1.1 2 8. 2 +-0
14. WebShellの探査 POST /q.php HTTP/1.1 2 9. 2 +-0
15. WebShellの探査 POST /test.php HTTP/1.1 2 102. 1 +1
16. phpMyAdminの探査 GET /web/phpMyAdmin/index.php HTTP/1.1 2 10. 2 +-0
17. phpMyAdminの探査 GET /admin/phpMyAdmin/index.php HTTP/1.1 2 11. 2 +-0
18. phpMyAdminの探査 GET /www/phpMyAdmin/index.php HTTP/1.1 2 - 0 +2
19. phpMyAdminの探査 GET /tools/phpMyAdmin/index.php HTTP/1.1 2 12. 2 +-0
20. phpMyAdminの探査 GET /claroline/phpMyAdmin/index.php HTTP/1.1 2 13. 2 +-0
... ... ... ... ... ... ...
22. 不明 GET /home.asp HTTP/1.1 1 - 0 +1
23. 不明 GET /images/logo.gif HTTP/1.1 1 - 0 +1
24. 不明 GET /fdsrwe HTTP/1.1 1 - 0 +1
25. 不明 GET /qnfxcjqr HTTP/1.1 1 - 0 +1
26. Netgear製のルーターの探査と思われる(参照) GET /currentsetting.htm HTTP/1.1 1 - 0 +1
27. 不明 GET /winbox.png HTTP/1.1 1 - 0 +1
28. 不明 GET /login.html HTTP/1.1 1 - 0 +1
29. 不明 GET /device_description.xml HTTP/1.1 1 - 0 +1
30. Dahua製のネットワークカメラの探査と思われる(参照) GET /current_config/passwd HTTP/1.1 1 - 0 +1
31. Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 PROPFIND / HTTP/1.1 1 4. 2 -1
32. WebDAVの探査 GET /webdav/ HTTP/1.1 1 5. 2 -1
... ... ... ... ... ... ...
52. WordPressのコンフィグファイルの探査 GET /wp-config.php HTTP/1.1 1 33. 1 +-0
... ... ... ... ... ... ...
67. Network Weathermapの探査 GET /plugins/weathermap/editor.php HTTP/1.1 1 - 0 +1
68. Network Weathermapの探査 GET /cacti/plugins/weathermap/editor.php HTTP/1.1 1 47. 1 +-0
... ... ... ... ... ... ...
200. WordPress用のPortable phpMyAdmin脆弱性(CVE-2012-5469)を利用した攻撃 GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 1 160. 1 +-0
  • 以下のURIに対するアクセスを初めて観測しました。
    • /home.asp
    • /images/logo.gif
    • /fdsrwe
    • /qnfxcjqr
    • /currentsetting.htm
    • /winbox.png
    • /login.html
    • /device_description.xm
    • /current_config/passwd

WOWHoneypotで取得したログの簡易分析は以上です。

更新履歴

  • 2019/02/05
    • 「Dahua製のネットワークカメラの脆弱性を利用した攻撃」という表現に誤りがあったため、「Dahua製のネットワークカメラの探査と思われるアクセス」に変更しました。お詫びして訂正いたします。
    • 「Sonos製の製品の探査と思われるアクセス」という表現に誤りがあったため、「不明」に変更しました。お詫びして訂正いたします。
    • Netgear製のルーターの探査と思われるアクセスの情報源を追加しました。(https://superuser.com/questions/939644/strange-http-requests-from-computer-running-netgear-genie)