ハニーポット観察日記(2019/01/26)
はじめに
こんにちは。cute_otterです。
平和な日は続かず、再び中国からの探査及び攻撃が増加しました。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/26 (土) 00:00~23:59 UTC(運用23日目)に取得したログの簡易分析です。
特徴
- 中国からのWebShellやphpMyAdminの探査を中心としたアクセスが増加しました。
- ZGrabによるスキャンを観測しました。
- 2019/01/21以来、5日ぶりにオープンプロキシの探査を観測しました。
概況
- 集計期間 : 2019/01/26 (土) 00:00~23:59 UTC
- 総アクセス件数 : 442 件(前日比 +419 件)
- WebShellの探査 : 228 件
- phpMyAdminの探査 : 149 件
- トップページへのアクセス : 28 件
- Tomcatの管理ページに対するログイン試行 : 19 件
- オープンプロキシの探査 : 6 件
- Network Weathermapの探査 : 4 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 2 件
- WebDAVの探査 : 2 件
- WordPressのコンフィグファイルの探査 : 2 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 2 件
- ユニークIPアドレス件数 : 33 件 (前日比 +12 件)
- アクセス元の国数 : 15 カ国 (前日比 +1 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 415 | 2. | 3 | +412 | - |
2. | Brazil | 10 | 1. | 6 | +4 | - |
3. | Argentina | 2 | - | 0 | +2 | - |
4. | United States | 2 | - | 0 | +2 | - |
5. | Turkey | 2 | - | 0 | +2 | - |
6. | Indonesia | 2 | 3. | 2 | +-0 | - |
7. | Ecuador | 1 | - | 0 | +1 | - |
8. | Taiwan | 1 | - | 0 | +1 | - |
9. | Japan | 1 | 5. | 1 | +-0 | - |
10. | Bangladesh | 1 | 6. | 1 | +-0 | - |
11. | Republic of Korea | 1 | - | 0 | +1 | - |
12. | Ukraine | 1 | 10. | 1 | +-0 | - |
13. | Greece | 1 | - | 0 | +1 | - |
14. | Sweden | 1 | - | 0 | +1 | - |
15. | Russia | 1 | 12. | 1 | +-0 | - |
- 中国からのアクセスが昨日より約400件増加しました。
アクセス先
アクセス先(上位20位+気になったもの)は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 26 | 1. | 19 | +7 |
2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 19 | - | 0 | +19 |
3. | WebShellの探査 | POST /qq.php HTTP/1.1 | 6 | - | 0 | +6 |
4. | WebShellの探査 | GET /shell.php HTTP/1.1 | 4 | - | 0 | +4 |
5. | WebShellの探査 | POST /xx.php HTTP/1.1 | 4 | - | 0 | +4 |
6. | WebShellの探査 | POST /q.php HTTP/1.1 | 4 | - | 0 | +4 |
7. | phpMyAdminの探査 | GET /web/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
8. | phpMyAdminの探査 | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
9. | phpMyAdminの探査 | GET /www/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
10. | phpMyAdminの探査 | GET /tools/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
11. | phpMyAdminの探査 | GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
12. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 3 | - | 0 | +3 |
13. | WebShellの探査 | POST /s.php HTTP/1.1 | 3 | - | 0 | +3 |
14. | WebShellの探査 | POST /conflg.php HTTP/1.1 | 3 | - | 0 | +3 |
15. | トップページへのアクセス | GET / HTTP/1.0 | 2 | 2. | 3 | -1 |
16. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 2 | - | 0 | +2 |
17. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 2 | - | 0 | +2 |
18. | WebShellの探査 | GET /help.php HTTP/1.1 | 2 | - | 0 | +2 |
19. | WebShellの探査 | GET /java.php HTTP/1.1 | 2 | - | 0 | +2 |
20. | WebShellの探査 | GET /_query.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
35. | WordPressのコンフィグファイルの探査 | GET /wp-config.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
50. | Network Weathermapの探査 | GET /plugins/weathermap/editor.php HTTP/1.1 | 2 | - | 0 | +2 |
51. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
166. | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
206. | オープンプロキシの探査 | GET hxxp://www[.]123cha[.]com HTTP/1.1 | 1 | - | 0 | +1 |
207. | オープンプロキシの探査 | GET hxxp://api[.]ipify[.]org/ HTTP/1.1 | 1 | - | 0 | +1 |
208. | オープンプロキシの探査 | CONNECT cn[.]bing[.]com:443 HTTP/1.1 | 1 | - | 0 | +1 |
209. | オープンプロキシの探査 | GET hxxp://www[.]123cha[.]com/ HTTP/1.1 | 1 | - | 0 | +1 |
210. | オープンプロキシの探査 | CONNECT www[.]baidu[.]com:443 HTTP/1.1 | 1 | - | 0 | +1 |
211. | オープンプロキシの探査 | GET hxxp://www[.]ip[.]cn/ HTTP/1.1 | 1 | - | 0 | +1 |
- 中国からのアクセスの大半がWebShellやphpMyAdmibなどの探査及び攻撃を目的としたものでした。
- 2019/01/23以来、3日ぶりにZGrabによるスキャンと思われるアクセスを観測しました。
- 今回のスキャンのUser-Agentは
Mozilla/5.0 zgrab/0.x
でした。
- 今回のスキャンのUser-Agentは
- 今日はMASSCANによるスキャンは観測されませんでした。
- 2019/01/24から2019/01/25にかけて、2日連続で観測していました。
- 2019/01/21以来、5日ぶりにオープンプロキシの探査を観測しました。
オープンプロキシの探査
オープンプロキシの探査について簡単にまとめました。
- オープンプロキシの探査(全6件)は全て異なるIPアドレスから行われました。
- これらの探査は約7秒の間に行われました。
- 同一の攻撃者による探査でしょうか?
- 全てのリクエストのヘッダに
Proxy-Connection: Keep-Alive
が設定されていました。 - 6件中4件のリクエストのヘッダに
Proxy-Authorization: Basic Og==
が設定されていました。
WOWHoneypotで取得したログの簡易分析は以上です。