ハニーポット観察日記(2019/01/24)
はじめに
こんにちは。cute_otterです。
今日はWebShellの探査は一件もありませんでした。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/24 (木) 00:00~23:59 UTC(運用21日目)に取得したログの簡易分析です。
特徴
- 5日ぶりにMASSCANによるスキャンを観測しました。
- Muieblackcatによるスキャンを初めて観測しました。
概況
- 集計期間 : 2019/01/24 (木) 00:00~23:59 UTC
- 総アクセス件数 : 127 件 (前日比 -362 件)
- トップページへのアクセス : 115 件
- phpMyAdminの探査 : 6 件
- Tomcatの管理ページに対するログイン試行 : 1 件
- SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 : 1 件
- その他 : 4 件
- ユニークIPアドレス件数 : 53 件 (前日比 +11 件)
- アクセス元の国数 : 12 カ国 (前日比 -5 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 97 | 1. | 463 | -366 | - |
2. | United States | 15 | 2. | 5 | +10 | - |
3. | Brazil | 5 | 3. | 4 | +1 | - |
4. | South Africa | 2 | 11. | 1 | +1 | - |
5. | Lebanon | 1 | - | 0 | +1 | - |
6. | Kenya | 1 | - | 0 | +1 | - |
7. | Germany | 1 | 15. | 1 | +-0 | - |
8. | Romania | 1 | - | 0 | +1 | - |
9. | Russia | 1 | 13. | 1 | +-0 | - |
10. | Turkey | 1 | 10. | 1 | +-0 | - |
11. | Taiwan | 1 | - | 0 | +1 | - |
12. | Cambodia | 1 | 9. | 1 | +-0 | - |
- 中国からのアクセスが昨日より約350件減少しました。
- 昨日のような特定のIPアドレスからの大量のアクセスはありませんでした。
アクセス先
アクセス先は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 112 | 1. | 47 | +65 |
2. | トップページへのアクセス | GET / HTTP/1.0 | 3 | 223. | 1 | +2 |
3. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 1 | 2. | 20 | -19 |
4. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET /mysql/admin/index.php?lang=en HTTP/1.1 | 1 | - | 0 | +1 |
5. | その他 | GET /robots.txt HTTP/1.1 | 1 | - | 0 | +1 |
6. | その他 | GET /sitemap.xml HTTP/1.1 | 1 | - | 0 | +1 |
7. | SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 | GET /.well-known/security.txt HTTP/1.1 | 1 | - | 0 | +1 |
8. | その他 | GET /favicon.ico HTTP/1.1 | 1 | - | 0 | +1 |
9. | その他(Muieblackcatによるスキャン) | GET /muieblackcat HTTP/1.1 | 1 | - | 0 | +1 |
10. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET //phpMyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
11. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET //phpmyadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
12. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET //pma/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
13. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET //myadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
14. | phpMyAdminの探査(Muieblackcatによるスキャン) | GET //MyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
- トップページへのアクセスのうち96件がBaiduによるクローラーによるアクセスでした。
- 2019/01/20以来、5日ぶりにMASSCANによるスキャンを観測しました。
- 件数は1件でした。
- User-Agentは
masscan/1.0 (https://github.com/robertdavidgraham/masscan)
でした。
- Muieblackcatによるスキャンを初めて観測しました。
Muieblackcatによるスキャン
初めて観測したMuieblackcatによるスキャンについて、簡単にまとめました。
スキャン対象のURIは全てphpMyAdmin関連のものでした。
これらのスキャンの送信元IPアドレスはDigitalOceanに登録されたものでした。
スキャンの対象となったURIは以下の通りです。
アクセスした順番 | 備考 | URI |
---|---|---|
1. | phpMyAdminの探査 | //phpMyAdmin/scripts/setup.php |
2. | phpMyAdminの探査 | //phpmyadmin/scripts/setup.php |
3. | phpMyAdminの探査 | //pma/scripts/setup.php |
4. | phpMyAdminの探査 | //myadmin/scripts/setup.php |
5. | phpMyAdminの探査 | //MyAdmin/scripts/setup.php |
参考にしたサイト
- https://eromang.zataz.com/2011/08/14/suc027-muieblackcat-setup-php-web-scanner-robot/
- https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=protection&threatId=MUIEBCAT
WOWHoneypotで取得したログの簡易分析は以上です。