ハニーポット観察日記(2019/01/23)
はじめに
こんにちは。cute_otterです。
本日もWebShellやphpMyAdminの探査がアクセスの大半を占めていました。
余談ですが、2019/01/29 09:00(JST)まで、Packtで技術書(洋書)を$5で買えるキャンペーンが行われているみたいです。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/23 (水) 00:00~23:59 UTC(運用20日目)に取得したログの簡易分析です。
特徴
- 全てのアクセスのうち約84%がWebShellやphpMyAdminの探査でした。
- ZGrabによるスキャンと思われるアクセスを観測しました。
概況
- 集計期間 : 2019/01/23 (水) 00:00~23:59 UTC
- 総アクセス件数 : 489 件 (前日比 +238 件)
- WebShellの探査 : 256 件
- phpMyAdminの探査 : 153 件
- トップページへのアクセス : 48 件
- Tomcatの管理ページに対するログイン試行 : 20 件
- Network Weathermapの探査 : 4 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 2 件
- WebDAVの探査 : 2 件
- WordPressのコンフィグファイルの探査 : 2 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 1 件
- その他 : 1 件
- ユニークIPアドレス件数 : 42 件 (前日比 +16 件)
- アクセス元の国数 : 17 カ国 (前日比 +5 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | China | 463 | 1. | 230 | +233 | - |
| 2. | United States | 5 | 3. | 2 | +3 | - |
| 3. | Brazil | 4 | 2. | 8 | -4 | - |
| 4. | India | 2 | 4. | 2 | +-0 | - |
| 5. | France | 2 | - | 0 | +2 | - |
| 6. | Spain | 2 | 6. | 1 | +1 | - |
| 7. | United Kingdom | 1 | - | 0 | +1 | - |
| 8. | Albania | 1 | - | 0 | +1 | - |
| 9. | Cambodia | 1 | - | 0 | +1 | - |
| 10. | Turkey | 1 | - | 0 | +1 | - |
| 11. | South Africa | 1 | - | 0 | +1 | - |
| 12. | Japan | 1 | - | 0 | +1 | - |
| 13. | Russia | 1 | - | 0 | +1 | - |
| 14. | Georgia | 1 | - | 0 | +1 | - |
| 15. | Germany | 1 | 12. | 1 | +-0 | - |
| 16. | Estonia | 1 | - | 0 | +1 | - |
| 17. | Ukraine | 1 | - | 0 | +1 | - |
- 全てのアクセスのうち約95%が特定の2件のIPアドレスからのアクセスでした。
- これらのIPアドレスは中国のTencent Cloud Computing(AS45090)に登録されていました。
アクセス先
アクセス先(上位20位+気になったもの)は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | トップページへのアクセス | GET / HTTP/1.1 | 47 | 1. | 24 | +23 |
| 2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 20 | 2. | 10 | +10 |
| 3. | WebShellの探査 | POST /qq.php HTTP/1.1 | 6 | 12. | 2 | +4 |
| 4. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 4 | 9. | 2 | +2 |
| 5. | WebShellの探査 | POST /xx.php HTTP/1.1 | 4 | 10. | 2 | +2 |
| 6. | WebShellの探査 | POST /conflg.php HTTP/1.1 | 4 | 13. | 2 | +2 |
| 7. | WebShellの探査 | POST /q.php HTTP/1.1 | 4 | 14. | 2 | +2 |
| 8. | phpMyAdminの探査 | GET /phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
| 9. | phpMyAdminの探査 | GET /web/phpMyAdmin/index.php HTTP/1.1 | 4 | 16. | 2 | +2 |
| 10. | phpMyAdminの探査 | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 4 | 17. | 2 | +2 |
| 11. | phpMyAdminの探査 | GET /www/phpMyAdmin/index.php HTTP/1.1 | 4 | 18. | 2 | +2 |
| 12. | phpMyAdminの探査 | GET /tools/phpMyAdmin/index.php HTTP/1.1 | 4 | 19. | 2 | +2 |
| 13. | phpMyAdminの探査 | GET /claroline/phpMyAdmin/index.php HTTP/1.1 | 4 | 20. | 2 | +2 |
| 14. | phpMyAdminの探査 | GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 | 4 | 21. | 2 | +2 |
| 15. | WebShellの探査 | POST /s.php HTTP/1.1 | 3 | 11. | 2 | +1 |
| 16. | WebShellの探査 | POST /test.php HTTP/1.1 | 3 | 15. | 2 | +1 |
| 17. | WebShellの探査 | POST /confg.php HTTP/1.1 | 3 | - | 0 | +3 |
| 18. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 2 | 31. | 1 | +1 |
| 19. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 2 | 32. | 1 | +1 |
| 20. | WebShellの探査 | GET /java.php HTTP/1.1 | 2 | 34. | 1 | +1 |
| ... | ... | ... | ... | ... | ... | ... |
| 36. | WordPressのコンフィグファイルの探査 | GET /wp-config.php HTTP/1.1 | 2 | 52. | 1 | +1 |
| ... | ... | ... | ... | ... | ... | ... |
| 51. | Network Weathermapの探査 | GET /plugins/weathermap/editor.php HTTP/1.1 | 2 | 67. | 1 | +1 |
| 52. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 2 | 68. | 1 | +1 |
| ... | ... | ... | ... | ... | ... | ... |
| 234. | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 1 | 200. | 1 | +-0 |
- 初めての攻撃の観測は無く、WebShellやphpMyAdminの探査が全てのアクセスの約84%を占めていました。
- ZGrabによるスキャンと思われるアクセスを4件観測しました。
- User-Agentは
Mozilla/5.0 zgrab/0.xでした。
- User-Agentは
WOWHoneypotで取得したログの簡易分析は以上です。
