cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/01/26)

ハニーポット観察日記(2019/01/26)

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
平和な日は続かず、再び中国からの探査及び攻撃が増加しました。

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/01/26 (土) 00:00~23:59 UTC(運用23日目)に取得したログの簡易分析です。

特徴

  • 中国からのWebShellやphpMyAdminの探査を中心としたアクセスが増加しました。
  • ZGrabによるスキャンを観測しました。
  • 2019/01/21以来、5日ぶりにオープンプロキシの探査を観測しました。

概況

  • 集計期間 : 2019/01/26 (土) 00:00~23:59 UTC
  • 総アクセス件数 : 442 件(前日比 +419 件)
  • ユニークIPアドレス件数 : 33 件 (前日比 +12 件)
  • アクセス元の国数 : 15 カ国 (前日比 +1 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. China 415 2. 3 +412 -
2. Brazil 10 1. 6 +4 -
3. Argentina 2 - 0 +2 -
4. United States 2 - 0 +2 -
5. Turkey 2 - 0 +2 -
6. Indonesia 2 3. 2 +-0 -
7. Ecuador 1 - 0 +1 -
8. Taiwan 1 - 0 +1 -
9. Japan 1 5. 1 +-0 -
10. Bangladesh 1 6. 1 +-0 -
11. Republic of Korea 1 - 0 +1 -
12. Ukraine 1 10. 1 +-0 -
13. Greece 1 - 0 +1 -
14. Sweden 1 - 0 +1 -
15. Russia 1 12. 1 +-0 -
  • 中国からのアクセスが昨日より約400件増加しました。

アクセス先

アクセス先(上位20位+気になったもの)は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 26 1. 19 +7
2. Tomcatの管理ページに対するログイン試行 GET /manager/html HTTP/1.1 19 - 0 +19
3. WebShellの探査 POST /qq.php HTTP/1.1 6 - 0 +6
4. WebShellの探査 GET /shell.php HTTP/1.1 4 - 0 +4
5. WebShellの探査 POST /xx.php HTTP/1.1 4 - 0 +4
6. WebShellの探査 POST /q.php HTTP/1.1 4 - 0 +4
7. phpMyAdminの探査 GET /web/phpMyAdmin/index.php HTTP/1.1 4 - 0 +4
8. phpMyAdminの探査 GET /admin/phpMyAdmin/index.php HTTP/1.1 4 - 0 +4
9. phpMyAdminの探査 GET /www/phpMyAdmin/index.php HTTP/1.1 4 - 0 +4
10. phpMyAdminの探査 GET /tools/phpMyAdmin/index.php HTTP/1.1 4 - 0 +4
11. phpMyAdminの探査 GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 4 - 0 +4
12. WebShellの探査 GET /cmd.php HTTP/1.1 3 - 0 +3
13. WebShellの探査 POST /s.php HTTP/1.1 3 - 0 +3
14. WebShellの探査 POST /conflg.php HTTP/1.1 3 - 0 +3
15. トップページへのアクセス GET / HTTP/1.0 2 2. 3 -1
16. Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 PROPFIND / HTTP/1.1 2 - 0 +2
17. WebDAVの探査 GET /webdav/ HTTP/1.1 2 - 0 +2
18. WebShellの探査 GET /help.php HTTP/1.1 2 - 0 +2
19. WebShellの探査 GET /java.php HTTP/1.1 2 - 0 +2
20. WebShellの探査 GET /_query.php HTTP/1.1 2 - 0 +2
... ... ... ... ... ... ...
35. WordPressのコンフィグファイルの探査 GET /wp-config.php HTTP/1.1 2 - 0 +2
... ... ... ... ... ... ...
50. Network Weathermapの探査 GET /plugins/weathermap/editor.php HTTP/1.1 2 - 0 +2
51. Network Weathermapの探査 GET /cacti/plugins/weathermap/editor.php HTTP/1.1 2 - 0 +2
... ... ... ... ... ... ...
166. WordPress用のPortable phpMyAdmin脆弱性(CVE-2012-5469)を利用した攻撃 GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 2 - 0 +2
... ... ... ... ... ... ...
206. オープンプロキシの探査 GET hxxp://www[.]123cha[.]com HTTP/1.1 1 - 0 +1
207. オープンプロキシの探査 GET hxxp://api[.]ipify[.]org/ HTTP/1.1 1 - 0 +1
208. オープンプロキシの探査 CONNECT cn[.]bing[.]com:443 HTTP/1.1 1 - 0 +1
209. オープンプロキシの探査 GET hxxp://www[.]123cha[.]com/ HTTP/1.1 1 - 0 +1
210. オープンプロキシの探査 CONNECT www[.]baidu[.]com:443 HTTP/1.1 1 - 0 +1
211. オープンプロキシの探査 GET hxxp://www[.]ip[.]cn/ HTTP/1.1 1 - 0 +1
  • 中国からのアクセスの大半がWebShellやphpMyAdmibなどの探査及び攻撃を目的としたものでした。
  • 2019/01/23以来、3日ぶりにZGrabによるスキャンと思われるアクセスを観測しました。
    • 今回のスキャンのUser-AgentはMozilla/5.0 zgrab/0.xでした。
  • 今日はMASSCANによるスキャンは観測されませんでした。
    • 2019/01/24から2019/01/25にかけて、2日連続で観測していました。
  • 2019/01/21以来、5日ぶりにオープンプロキシの探査を観測しました。

オープンプロキシの探査

オープンプロキシの探査について簡単にまとめました。

  • オープンプロキシの探査(全6件)は全て異なるIPアドレスから行われました。
  • これらの探査は約7秒の間に行われました。
    • 同一の攻撃者による探査でしょうか?
  • 全てのリクエストのヘッダにProxy-Connection: Keep-Aliveが設定されていました。
  • 6件中4件のリクエストのヘッダにProxy-Authorization: Basic Og==が設定されていました。

WOWHoneypotで取得したログの簡易分析は以上です。