ハニーポット観察日記(2019/01/28)

はじめに
WOWHoneypot

はじめに

こんにちは。cute_otterです。
平和な日は続かず、再び、中国からのまとまったWebShellやphpMyAdminなどの探査及び攻撃を観測しました。

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/01/28 (月) 00:00~23:59 UTC(運用25日目)に取得したログの簡易分析です。

特徴

中国からのまとまったWebShellやphpMyAdminなどの探査及び攻撃を観測しました。
3日連続でZGrabによるスキャンを観測しました。

概況

集計期間 : 2019/01/28 (月) 00:00~23:59 UTC
総アクセス件数 : 358 件(前日比 +344 件)
- WebShellの探査 : 162 件
- phpMyAdminの探査 : 139 件
- トップページへのアクセス : 26 件
- Tomcatの管理ページに対するログイン試行 : 20 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 2 件
- WebDAVの探査 : 2 件
- WordPressのコンフィグファイルの探査 : 2 件
- Network Weathermapの探査 : 2 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 2 件
- Gitのコンフィグファイルの探査 : 1 件
ユニークIPアドレス件数 : 30 件 (前日比 +16 件)
アクセス元の国数 : 14 カ国 (前日比 +4 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位	国名	件数	前日の順位	前日の件数	件数差	備考
1.	China	331	-	0	+331	-
2.	Brazil	10	8.	1	+9	-
3.	Russia	3	9.	1	+2	-
4.	United States	3	1.	5	-2	-
5.	India	2	-	0	+2	-
6.	Romania	1	-	0	+1	-
7.	Ukraine	1	-	0	+1	-
8.	Italy	1	-	0	+1	-
9.	Turkey	1	-	0	+1	-
10.	Japan	1	-	0	+1	-
11.	Malaysia	1	-	0	+1	-
12.	Czechia	1	-	0	+1	-
13.	Mexico	1	-	0	+1	-
14.	Republic of Moldova	1	-	0	+1	-

中国からのアクセスが昨日より約300件増加しました。
- アクセスの大半がWebShellやphpMyAdminなどの探査及び攻撃でした。

アクセス先

アクセス先(上位20位+気になったもの)は以下の通りです。

順位	備考	アクセス先	件数	前日の順位	前日の件数	件数差
1.	トップページへのアクセス	GET / HTTP/1.1	23	1.	11	+12
2.	Tomcatの管理ページに対するログイン試行	GET /manager/html HTTP/1.1	20	-	0	+20
3.	WebShellの探査	GET /cmd.php HTTP/1.1	4	-	0	+4
4.	phpMyAdminの探査	GET /admin/phpMyAdmin/index.php HTTP/1.1	4	-	0	+4
5.	phpMyAdminの探査	GET /www/phpMyAdmin/index.php HTTP/1.1	4	-	0	+4
6.	phpMyAdminの探査	GET /claroline/phpMyAdmin/index.php HTTP/1.1	4	-	0	+4
7.	WebShellの探査	GET /shell.php HTTP/1.1	3	-	0	+3
8.	WebShellの探査	POST /xx.php HTTP/1.1	3	-	0	+3
9.	WebShellの探査	POST /qq.php HTTP/1.1	3	-	0	+3
10.	phpMyAdminの探査	GET /phpMyAdmin/index.php HTTP/1.1	3	-	0	+3
11.	phpMyAdminの探査	GET /web/phpMyAdmin/index.php HTTP/1.1	3	-	0	+3
12.	トップページへのアクセス	GET / HTTP/1.0	2	2.	3	-1
13.	Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃	PROPFIND / HTTP/1.1	2	-	0	+2
14.	WebDAVの探査	GET /webdav/ HTTP/1.1	2	-	0	+2
15.	WebShellの探査	GET /help.php HTTP/1.1	2	-	0	+2
16.	WebShellの探査	GET /java.php HTTP/1.1	2	-	0	+2
17.	WebShellの探査	GET /test.php HTTP/1.1	2	-	0	+2
18.	WebShellの探査	GET /db_cts.php HTTP/1.1	2	-	0	+2
19.	phpMyAdminの探査	GET /db_pma.php HTTP/1.1	2	-	0	+2
20.	WebShellの探査	GET /help-e.php HTTP/1.1	2	-	0	+2
...	...	...	...	...	...	...
30.	WordPressのコンフィグファイルの探査	GET /wp-config.php HTTP/1.1	2	-	0	+2
...	...	...	...	...	...	...
116.	WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃	GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1	2	-	0	+2
...	...	...	...	...	...	...
124.	Network Weathermapの探査	GET /plugins/weathermap/editor.php HTTP/1.1	1	-	0	+1
...	...	...	...	...	...	...
139.	Network Weathermapの探査	GET /cacti/plugins/weathermap/editor.php HTTP/1.1	1	-	0	+1
...	...	...	...	...	...	...
188.	Gitのコンフィグファイルの探査	GET //.git/config HTTP/1.1	1	-	0	+1

3日連続でZGrabによるスキャンと思われるアクセスを観測しました。
- User-AgentはMozilla/5.0 zgrab/0.xでした。
- 今日のスキャンの送信元IPアドレスと過去2日間に観測したスキャンの送信元IPアドレスは異なっていました。

Gitのコンフィグファイルの探査

今回観測したGitのコンフィグファイルの探査のHTTPリクエストは以下の通りです

GET //.git/config HTTP/1.1
Host: xxx.xxx.xxx.xxx
User-Agent: python-requests/2.4.3 CPython/3.4.2 Linux/3.16.0-4-amd64
Accept: */*
Connection: keep-alive
Accept-Encoding: gzip, deflate

今までに観測したGitのコンフィグファイルの探査のUser-AgentはMozilla/5.0 ...でしたが、今回はUser-Agentにpython-requests/2.4.3 CPython/3.4.2 Linux/3.16.0-4-amd64が使われていました。

WOWHoneypotで取得したログの簡易分析は以上です。

cute_otter’s blog

ハニーポットの観察日記を付けています