ハニーポット観察日記(2019/01/24)
はじめに
こんにちは。cute_otterです。
今日はWebShellの探査は一件もありませんでした。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/24 (木) 00:00~23:59 UTC(運用21日目)に取得したログの簡易分析です。
特徴
- 5日ぶりにMASSCANによるスキャンを観測しました。
- Muieblackcatによるスキャンを初めて観測しました。
概況
- 集計期間 : 2019/01/24 (木) 00:00~23:59 UTC
- 総アクセス件数 : 127 件 (前日比 -362 件)
- トップページへのアクセス : 115 件
- phpMyAdminの探査 : 6 件
- Tomcatの管理ページに対するログイン試行 : 1 件
- SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 : 1 件
- その他 : 4 件
- ユニークIPアドレス件数 : 53 件 (前日比 +11 件)
- アクセス元の国数 : 12 カ国 (前日比 -5 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | China | 97 | 1. | 463 | -366 | - |
| 2. | United States | 15 | 2. | 5 | +10 | - |
| 3. | Brazil | 5 | 3. | 4 | +1 | - |
| 4. | South Africa | 2 | 11. | 1 | +1 | - |
| 5. | Lebanon | 1 | - | 0 | +1 | - |
| 6. | Kenya | 1 | - | 0 | +1 | - |
| 7. | Germany | 1 | 15. | 1 | +-0 | - |
| 8. | Romania | 1 | - | 0 | +1 | - |
| 9. | Russia | 1 | 13. | 1 | +-0 | - |
| 10. | Turkey | 1 | 10. | 1 | +-0 | - |
| 11. | Taiwan | 1 | - | 0 | +1 | - |
| 12. | Cambodia | 1 | 9. | 1 | +-0 | - |
- 中国からのアクセスが昨日より約350件減少しました。
- 昨日のような特定のIPアドレスからの大量のアクセスはありませんでした。
アクセス先
アクセス先は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | トップページへのアクセス | GET / HTTP/1.1 | 112 | 1. | 47 | +65 |
| 2. | トップページへのアクセス | GET / HTTP/1.0 | 3 | 223. | 1 | +2 |
| 3. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 1 | 2. | 20 | -19 |
| 4. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET /mysql/admin/index.php?lang=en HTTP/1.1 | 1 | - | 0 | +1 |
| 5. | その他 | GET /robots.txt HTTP/1.1 | 1 | - | 0 | +1 |
| 6. | その他 | GET /sitemap.xml HTTP/1.1 | 1 | - | 0 | +1 |
| 7. | SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 | GET /.well-known/security.txt HTTP/1.1 | 1 | - | 0 | +1 |
| 8. | その他 | GET /favicon.ico HTTP/1.1 | 1 | - | 0 | +1 |
| 9. | その他(Muieblackcatによるスキャン) | GET /muieblackcat HTTP/1.1 | 1 | - | 0 | +1 |
| 10. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET //phpMyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
| 11. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET //phpmyadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
| 12. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET //pma/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
| 13. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET //myadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
| 14. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET //MyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
- トップページへのアクセスのうち96件がBaiduによるクローラーによるアクセスでした。
- 2019/01/20以来、5日ぶりにMASSCANによるスキャンを観測しました。
- 件数は1件でした。
- User-Agentは
masscan/1.0 (https://github.com/robertdavidgraham/masscan)でした。
- Muieblackcatによるスキャンを初めて観測しました。
Muieblackcatによるスキャン
初めて観測したMuieblackcatによるスキャンについて、簡単にまとめました。
スキャン対象のURIは全てphpMyAdmin関連のものでした。
これらのスキャンの送信元IPアドレスはDigitalOceanに登録されたものでした。
スキャンの対象となったURIは以下の通りです。
| アクセスした順番 | 備考 | URI |
|---|---|---|
| 1. | phpMyAdminの探査 | //phpMyAdmin/scripts/setup.php |
| 2. | phpMyAdminの探査 | //phpmyadmin/scripts/setup.php |
| 3. | phpMyAdminの探査 | //pma/scripts/setup.php |
| 4. | phpMyAdminの探査 | //myadmin/scripts/setup.php |
| 5. | phpMyAdminの探査 | //MyAdmin/scripts/setup.php |
参考にしたサイト
- https://eromang.zataz.com/2011/08/14/suc027-muieblackcat-setup-php-web-scanner-robot/
- https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=protection&threatId=MUIEBCAT
WOWHoneypotで取得したログの簡易分析は以上です。
