ハニーポット観察日記(2019/01/22)
はじめに
こんにちは。cute_otterです。
初観測のアクセスや意図が不明なアクセスの件数が普段より多めでした。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/22 (火) 00:00~23:59 UTC(運用19日目)に取得したログの簡易分析です。
特徴
- 以下のURIに対するアクセスを初めて観測しました。
概況
- 集計期間 : 2019/01/22 (火) 00:00~23:59 UTC
- 総アクセス件数 : 251 件 (前日比 +33 件)
- WebShellの探査 : 125 件
- phpMyAdminの探査 : 72 件
- トップページへのアクセス : 28 件
- Tomcatの管理ページに対するログイン試行 : 10 件
- Network Weathermapの探査 : 2 件
- Dahua製のネットワークカメラの探査と思われるアクセス(参照) : 1 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 1 件
- Netgear製のルーターの探査と思われるアクセス : 1 件
- WebDAVの探査 : 1 件
- WordPressのコンフィグファイルの探査 : 1 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 1 件
- 不明 : 7 件
- ユニークIPアドレス件数 : 26 件 (前日比 -7 件)
- アクセス元の国数 : 12 カ国 (前日比 -3 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 230 | 1. | 179 | +51 | - |
2. | Brazil | 8 | 5. | 4 | +4 | - |
3. | United States | 2 | 6. | 3 | -1 | - |
4. | India | 2 | 13. | 1 | +1 | - |
5. | Saudi Arabia | 2 | - | 0 | +2 | - |
6. | Spain | 1 | 7. | 2 | -1 | - |
7. | Taiwan | 1 | - | 0 | +1 | - |
8. | Mexico | 1 | - | 0 | +1 | - |
9. | Kenya | 1 | - | 0 | +1 | - |
10. | Colombia | 1 | - | 0 | +1 | - |
11. | Italy | 1 | - | 0 | +1 | - |
12. | Germany | 1 | - | 0 | +1 | - |
- 中国からのアクセス件数が昨日より約50件増加しました。
アクセス先
アクセス先(上位20位+気になったもの)は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 24 | 1. | 27 | -3 |
2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 10 | 2. | 18 | -8 |
3. | トップページへのアクセス | GET / HTTP/1.0 | 2 | 162. | 1 | +1 |
4. | トップページへのアクセス | HEAD / HTTP/1.0 | 2 | 161. | 1 | +1 |
5. | WebShellの探査 | POST /w.php HTTP/1.1 | 2 | - | 0 | +2 |
6. | WebShellの探査 | POST /sheep.php HTTP/1.1 | 2 | 53. | 1 | +1 |
7. | phpMyAdminの探査 | GET /phpMyadmi/index.php HTTP/1.1 | 2 | 144. | 1 | +1 |
8. | WebShellの探査 | GET /shell.php HTTP/1.1 | 2 | 40. | 1 | +1 |
9. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 2 | 6. | 2 | +-0 |
10. | WebShellの探査 | POST /xx.php HTTP/1.1 | 2 | 7. | 2 | +-0 |
11. | WebShellの探査 | POST /s.php HTTP/1.1 | 2 | 52. | 1 | +1 |
12. | WebShellの探査 | POST /qq.php HTTP/1.1 | 2 | 3. | 3 | -1 |
13. | WebShellの探査 | POST /conflg.php HTTP/1.1 | 2 | 8. | 2 | +-0 |
14. | WebShellの探査 | POST /q.php HTTP/1.1 | 2 | 9. | 2 | +-0 |
15. | WebShellの探査 | POST /test.php HTTP/1.1 | 2 | 102. | 1 | +1 |
16. | phpMyAdminの探査 | GET /web/phpMyAdmin/index.php HTTP/1.1 | 2 | 10. | 2 | +-0 |
17. | phpMyAdminの探査 | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 2 | 11. | 2 | +-0 |
18. | phpMyAdminの探査 | GET /www/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
19. | phpMyAdminの探査 | GET /tools/phpMyAdmin/index.php HTTP/1.1 | 2 | 12. | 2 | +-0 |
20. | phpMyAdminの探査 | GET /claroline/phpMyAdmin/index.php HTTP/1.1 | 2 | 13. | 2 | +-0 |
... | ... | ... | ... | ... | ... | ... |
22. | 不明 | GET /home.asp HTTP/1.1 | 1 | - | 0 | +1 |
23. | 不明 | GET /images/logo.gif HTTP/1.1 | 1 | - | 0 | +1 |
24. | 不明 | GET /fdsrwe HTTP/1.1 | 1 | - | 0 | +1 |
25. | 不明 | GET /qnfxcjqr HTTP/1.1 | 1 | - | 0 | +1 |
26. | Netgear製のルーターの探査と思われる(参照) | GET /currentsetting.htm HTTP/1.1 | 1 | - | 0 | +1 |
27. | 不明 | GET /winbox.png HTTP/1.1 | 1 | - | 0 | +1 |
28. | 不明 | GET /login.html HTTP/1.1 | 1 | - | 0 | +1 |
29. | 不明 | GET /device_description.xml HTTP/1.1 | 1 | - | 0 | +1 |
30. | Dahua製のネットワークカメラの探査と思われる(参照) | GET /current_config/passwd HTTP/1.1 | 1 | - | 0 | +1 |
31. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 1 | 4. | 2 | -1 |
32. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 1 | 5. | 2 | -1 |
... | ... | ... | ... | ... | ... | ... |
52. | WordPressのコンフィグファイルの探査 | GET /wp-config.php HTTP/1.1 | 1 | 33. | 1 | +-0 |
... | ... | ... | ... | ... | ... | ... |
67. | Network Weathermapの探査 | GET /plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
68. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 1 | 47. | 1 | +-0 |
... | ... | ... | ... | ... | ... | ... |
200. | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 1 | 160. | 1 | +-0 |
- 以下のURIに対するアクセスを初めて観測しました。
WOWHoneypotで取得したログの簡易分析は以上です。
更新履歴
- 2019/02/05
- 「Dahua製のネットワークカメラの脆弱性を利用した攻撃」という表現に誤りがあったため、「Dahua製のネットワークカメラの探査と思われるアクセス」に変更しました。お詫びして訂正いたします。
- 「Sonos製の製品の探査と思われるアクセス」という表現に誤りがあったため、「不明」に変更しました。お詫びして訂正いたします。
- Netgear製のルーターの探査と思われるアクセスの情報源を追加しました。(https://superuser.com/questions/939644/strange-http-requests-from-computer-running-netgear-genie)