ハニーポット観察日記(2019/01/31)
はじめに
こんにちは。cute_otterです。
WOWHoneypotの運用開始から約1か月経つので、振り返りみたいなものをやってみたいなぁ
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/31 (木) 00:00~23:59 UTC(運用28日目)に取得したログの簡易分析です。
特徴
- タイからWebShellやphpMyAdminなどの探査及び攻撃を観測しました。
概況
- 集計期間 : 2019/01/31 (木) 00:00~23:59 UTC
- 総アクセス件数 : 385 件(前日比 +365 件)
- WebShellの探査 : 258 件
- phpMyAdminの探査 : 92 件
- トップページへのアクセス : 15 件
- Tomcatの管理ページに対するログイン試行 : 10 件
- Network Weathermapの探査 : 2 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 1 件
- WebDAVの探査 : 1 件
- WordPressのコンフィグファイルの探査 : 1 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 1 件
- SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 : 1 件
- その他 : 3 件
- ユニークIPアドレス件数 : 16 件 (前日比 -4 件)
- アクセス元の国数 : 7 カ国 (前日比 -11 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Thailand | 366 | - | 0 | +366 | - |
2. | Brazil | 10 | - | 0 | +10 | - |
3. | United States | 5 | 1. | 3 | +2 | - |
4. | India | 1 | 15. | 1 | +-0 | - |
5. | Indonesia | 1 | 12. | 1 | +-0 | - |
6. | Réunion | 1 | - | 0 | +1 | - |
7. | South Africa | 1 | - | 0 | +1 | - |
- タイからのアクセスは一つのIPアドレスから行われていました。
- 当該IPアドレスは10 Fl. 72. CAT TELECOM TOWER Bangrak Bangkok Thailand(AS131090)に登録されたものでした。
- アクセスの目的はWebShellやphpMyAdminなどの探査及び攻撃でした。
アクセス先
アクセス先(上位20位+気になったもの)は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 15 | 1. | 11 | +4 |
2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 10 | 6. | 1 | +9 |
3. | WebShellの探査 | POST /qq.php HTTP/1.1 | 4 | - | 0 | +4 |
4. | WebShellの探査 | POST /1.php HTTP/1.1 | 4 | - | 0 | +4 |
5. | WebShellの探査 | POST /confg.php HTTP/1.1 | 4 | - | 0 | +4 |
6. | WebShellの探査 | POST /x.php HTTP/1.1 | 4 | - | 0 | +4 |
7. | WebShellの探査 | POST /test.php HTTP/1.1 | 3 | - | 0 | +3 |
8. | WebShellの探査 | GET /shell.php HTTP/1.1 | 2 | - | 0 | +2 |
9. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 2 | - | 0 | +2 |
10. | WebShellの探査 | POST /xx.php HTTP/1.1 | 2 | - | 0 | +2 |
11. | WebShellの探査 | POST /s.php HTTP/1.1 | 2 | - | 0 | +2 |
12. | WebShellの探査 | POST /conflg.php HTTP/1.1 | 2 | - | 0 | +2 |
13. | WebShellの探査 | POST /q.php HTTP/1.1 | 2 | - | 0 | +2 |
14. | WebShellの探査 | POST /2.php HTTP/1.1 | 2 | - | 0 | +2 |
15. | WebShellの探査 | POST /z.php HTTP/1.1 | 2 | - | 0 | +2 |
16. | WebShellの探査 | POST /api.php HTTP/1.1 | 2 | - | 0 | +2 |
17. | WebShellの探査 | POST /hello.php HTTP/1.1 | 2 | - | 0 | +2 |
18. | WebShellの探査 | POST /MCLi.php HTTP/1.1 | 2 | - | 0 | +2 |
19. | WebShellの探査 | POST /zxc1.php HTTP/1.1 | 2 | - | 0 | +2 |
20. | WebShellの探査 | POST /test123.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
39. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 1 | - | 0 | +1 |
40. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 1 | - | 0 | +1 |
... | ... | ... | ... | ... | ... | ... |
78. | Network Weathermapの探査 | GET /plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
79. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
... | ... | ... | ... | ... | ... | ... |
313. | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 1 | - | 0 | +1 |
... | ... | ... | ... | ... | ... | ... |
316. | SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 | GET /.well-known/security.txt HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。