ハニーポット観察日記(2019/01/28)
はじめに
こんにちは。cute_otterです。
平和な日は続かず、再び、中国からのまとまったWebShellやphpMyAdminなどの探査及び攻撃を観測しました。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/28 (月) 00:00~23:59 UTC(運用25日目)に取得したログの簡易分析です。
特徴
- 中国からのまとまったWebShellやphpMyAdminなどの探査及び攻撃を観測しました。
- 3日連続でZGrabによるスキャンを観測しました。
概況
- 集計期間 : 2019/01/28 (月) 00:00~23:59 UTC
- 総アクセス件数 : 358 件(前日比 +344 件)
- WebShellの探査 : 162 件
- phpMyAdminの探査 : 139 件
- トップページへのアクセス : 26 件
- Tomcatの管理ページに対するログイン試行 : 20 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 2 件
- WebDAVの探査 : 2 件
- WordPressのコンフィグファイルの探査 : 2 件
- Network Weathermapの探査 : 2 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 2 件
- Gitのコンフィグファイルの探査 : 1 件
- ユニークIPアドレス件数 : 30 件 (前日比 +16 件)
- アクセス元の国数 : 14 カ国 (前日比 +4 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 331 | - | 0 | +331 | - |
2. | Brazil | 10 | 8. | 1 | +9 | - |
3. | Russia | 3 | 9. | 1 | +2 | - |
4. | United States | 3 | 1. | 5 | -2 | - |
5. | India | 2 | - | 0 | +2 | - |
6. | Romania | 1 | - | 0 | +1 | - |
7. | Ukraine | 1 | - | 0 | +1 | - |
8. | Italy | 1 | - | 0 | +1 | - |
9. | Turkey | 1 | - | 0 | +1 | - |
10. | Japan | 1 | - | 0 | +1 | - |
11. | Malaysia | 1 | - | 0 | +1 | - |
12. | Czechia | 1 | - | 0 | +1 | - |
13. | Mexico | 1 | - | 0 | +1 | - |
14. | Republic of Moldova | 1 | - | 0 | +1 | - |
- 中国からのアクセスが昨日より約300件増加しました。
- アクセスの大半がWebShellやphpMyAdminなどの探査及び攻撃でした。
アクセス先
アクセス先(上位20位+気になったもの)は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 23 | 1. | 11 | +12 |
2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 20 | - | 0 | +20 |
3. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 4 | - | 0 | +4 |
4. | phpMyAdminの探査 | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
5. | phpMyAdminの探査 | GET /www/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
6. | phpMyAdminの探査 | GET /claroline/phpMyAdmin/index.php HTTP/1.1 | 4 | - | 0 | +4 |
7. | WebShellの探査 | GET /shell.php HTTP/1.1 | 3 | - | 0 | +3 |
8. | WebShellの探査 | POST /xx.php HTTP/1.1 | 3 | - | 0 | +3 |
9. | WebShellの探査 | POST /qq.php HTTP/1.1 | 3 | - | 0 | +3 |
10. | phpMyAdminの探査 | GET /phpMyAdmin/index.php HTTP/1.1 | 3 | - | 0 | +3 |
11. | phpMyAdminの探査 | GET /web/phpMyAdmin/index.php HTTP/1.1 | 3 | - | 0 | +3 |
12. | トップページへのアクセス | GET / HTTP/1.0 | 2 | 2. | 3 | -1 |
13. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 2 | - | 0 | +2 |
14. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 2 | - | 0 | +2 |
15. | WebShellの探査 | GET /help.php HTTP/1.1 | 2 | - | 0 | +2 |
16. | WebShellの探査 | GET /java.php HTTP/1.1 | 2 | - | 0 | +2 |
17. | WebShellの探査 | GET /test.php HTTP/1.1 | 2 | - | 0 | +2 |
18. | WebShellの探査 | GET /db_cts.php HTTP/1.1 | 2 | - | 0 | +2 |
19. | phpMyAdminの探査 | GET /db_pma.php HTTP/1.1 | 2 | - | 0 | +2 |
20. | WebShellの探査 | GET /help-e.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
30. | WordPressのコンフィグファイルの探査 | GET /wp-config.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
116. | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
124. | Network Weathermapの探査 | GET /plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
... | ... | ... | ... | ... | ... | ... |
139. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
... | ... | ... | ... | ... | ... | ... |
188. | Gitのコンフィグファイルの探査 | GET //.git/config HTTP/1.1 | 1 | - | 0 | +1 |
- 3日連続でZGrabによるスキャンと思われるアクセスを観測しました。
Gitのコンフィグファイルの探査
今回観測したGitのコンフィグファイルの探査のHTTPリクエストは以下の通りです
GET //.git/config HTTP/1.1 Host: xxx.xxx.xxx.xxx User-Agent: python-requests/2.4.3 CPython/3.4.2 Linux/3.16.0-4-amd64 Accept: */* Connection: keep-alive Accept-Encoding: gzip, deflate
今までに観測したGitのコンフィグファイルの探査のUser-AgentはMozilla/5.0 ...
でしたが、今回はUser-Agentにpython-requests/2.4.3 CPython/3.4.2 Linux/3.16.0-4-amd64
が使われていました。
WOWHoneypotで取得したログの簡易分析は以上です。