ハニーポット観察日記(2019/02/02)
はじめに
こんにちは。cute_otterです。
今日はCoinMinerやコロンビアからの探査と初めて観測する事象が多かったです。
Cowrie
ハニーポット「Cowrie」で2019/02/02 (土) 00:00~23:59 UTC(運用81日目)に取得したログの簡易分析です。
特徴
- カナダからのアクセス件数が昨日より約12万件増加しました。
- CoinMinerとそのコンフィグファイルを初めて観測しました。
概況
- 集計期間 : 2019/02/02 (土) 00:00~23:59 UTC
- 総アクセス件数 : 558,747 件 (前日比 +139,046 件)
- ユニークIPアドレス : 578 件 (前日比 -10 件)
- アクセス元の国 : 70 カ国 (前日比 +7 カ国)
- ログイン試行 : 10,398 件 (前日比 +1,305 件)
- SSHコネクション : 4,686 件 (前日比 +154 件)
- Telnetコネクション : 7,675 件 (前日比 +1,635 件)
- ダウンロードされたファイル : 4,218 件 (前日比 +906 件)
アクセス
全体及び国別のアクセス件数の遷移等は以下の通りです。
- カナダからのアクセスが1~5時、16時、18~19時に集中していました。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 373,605 | 1. | 344,455 | +29,150 | - |
2. | Canada | 121,184 | 12. | 310 | +120,874 | - |
3. | Netherlands | 25,081 | 2. | 38,403 | -13,322 | - |
4. | United Kingdom | 15,534 | 3. | 17,009 | -1,475 | - |
5. | Ireland | 8,912 | 4. | 8,460 | +452 | - |
6. | Russia | 7,088 | 5. | 4,949 | +2,139 | - |
7. | Latvia | 1,668 | 8. | 658 | +1,010 | - |
8. | China | 950 | 6. | 1,020 | -70 | - |
9. | India | 751 | 10. | 428 | +323 | - |
10. | Romania | 663 | 16. | 150 | +513 | - |
11. | Italy | 483 | 7. | 939 | -456 | - |
12. | Ukraine | 462 | 11. | 399 | +63 | - |
13. | France | 392 | 9. | 479 | -87 | - |
14. | Brazil | 343 | 13. | 271 | +72 | - |
15. | Botswana | 120 | 34. | 18 | +102 | - |
16. | Sweden | 120 | 54. | 5 | +115 | - |
17. | Vietnam | 112 | 15. | 188 | -76 | - |
18. | Singapore | 111 | 21. | 72 | +39 | - |
19. | South Korea | 100 | 19. | 113 | -13 | - |
20. | Germany | 86 | 14. | 258 | -172 | - |
- アメリカからのアクセスのうち約88%がFranTech Solutions(AS53667)に登録された1つのIPアドレスから行われていました。
- カナダからのアクセスが昨日より約12万件増加しました。
- カナダからのアクセスのうち約99%がDigitalOcean, LLC(AS14061)に登録された2つのIPアドレスから行われていました。
ユニークIPアドレス
国別のユニークIPアドレスの件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 133 | 1. | 135 | -2 | - |
2. | United States | 82 | 2. | 92 | -10 | - |
3. | France | 49 | 3. | 59 | -10 | - |
4. | Brazil | 30 | 4. | 25 | +5 | - |
5. | India | 22 | 7. | 16 | +6 | - |
6. | United Kingdom | 20 | 6. | 17 | +3 | - |
7. | Singapore | 19 | 11. | 12 | +7 | - |
8. | Russia | 19 | 5. | 23 | -4 | - |
9. | South Korea | 16 | 8. | 15 | +1 | - |
10. | Netherlands | 14 | 9. | 14 | +-0 | - |
11. | Germany | 14 | 10. | 14 | +-0 | - |
12. | Canada | 13 | 13. | 11 | +2 | - |
13. | Colombia | 11 | 28. | 3 | +8 | - |
14. | Vietnam | 11 | 12. | 11 | +-0 | - |
15. | Italy | 10 | 14. | 10 | +-0 | - |
16. | Indonesia | 8 | 15. | 10 | -2 | - |
17. | Ireland | 6 | 17. | 8 | -2 | - |
18. | Ukraine | 6 | 23. | 5 | +1 | - |
19. | Poland | 6 | 34. | 2 | +4 | - |
20. | Argentina | 5 | 25. | 5 | +-0 | - |
- カナダからのアクセス件数が約12万件増加しましたが、ユニークIPアドレスの件数はあまり変化がありませんでした。
ログイン試行
全体及び国別のログイン試行件数の遷移等は以下の通りです。
続いて、国別のログイン試行の件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 3,782 | 1. | 3,341 | +441 | - |
2. | United Kingdom | 1,769 | 2. | 1,948 | -179 | - |
3. | Ireland | 1,289 | 3. | 1,300 | -11 | - |
4. | Russia | 1,129 | 5. | 818 | +311 | - |
5. | Canada | 1,120 | 10. | 29 | +1,091 | - |
6. | Netherlands | 556 | 4. | 851 | -295 | - |
7. | India | 153 | 6. | 202 | -49 | - |
8. | China | 147 | 7. | 167 | -20 | - |
9. | France | 60 | 9. | 75 | -15 | - |
10. | Romania | 48 | 15. | 15 | +33 | - |
11. | Latvia | 37 | 16. | 14 | +23 | - |
12. | Brazil | 35 | 11. | 27 | +8 | - |
13. | Argentina | 34 | 28. | 5 | +29 | - |
14. | Singapore | 20 | 20. | 12 | +8 | - |
15. | Italy | 20 | 8. | 86 | -66 | - |
16. | South Korea | 17 | 14. | 16 | +1 | - |
17. | Ukraine | 15 | 18. | 12 | +3 | - |
18. | Colombia | 14 | 35. | 3 | +11 | - |
19. | Germany | 14 | 12. | 18 | -4 | - |
20. | Vietnam | 10 | 13. | 17 | -7 | - |
- カナダからのログイン試行件数が昨日より約1,100件増加しました。
ユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | admin | 4,349 | 1. | 4,173 | +176 | - |
2. | root | default | 351 | 3. | 263 | +88 | - |
3. | root | admin | 310 | 2. | 279 | +31 | - |
4. | root | 888888 | 246 | 8. | 153 | +93 | Dahua製のDVRを狙ったものと思われる(参照) |
5. | root | anko | 234 | 7. | 171 | +63 | Shenzhen ANKO Tech製のDVRを狙ったものと思われる(参照) |
6. | root | 1234 | 203 | 11. | 123 | +80 | - |
7. | admin | password | 175 | 4. | 199 | -24 | - |
8. | admin | 123456 | 169 | 5. | 186 | -17 | - |
9. | root | 54321 | 169 | 6. | 185 | -16 | Packet8製のVOIP Phoneを狙ったものと思われる(参照) |
10. | root | tsgoingon | 147 | 27. | 55 | +92 | - |
11. | admin | 1111111 | 144 | 9. | 144 | +-0 | Samsung製のIP Cameraを狙ったものと思われる(参照) |
12. | root | vizxv | 136 | 29. | 53 | +83 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
13. | root | taZz@23495859 | 135 | 22. | 67 | +68 | - |
14. | guest | 12345 | 127 | 10. | 136 | -9 | - |
15. | user | user | 117 | 20. | 80 | +37 | - |
16. | root | root | 114 | 17. | 85 | +29 | - |
17. | root | xc3511 | 105 | 12. | 110 | -5 | HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照) |
18. | root | juantech | 105 | 25. | 59 | +46 | Guangzhou Juan Optical製のDVRを狙ったものと思われる(参照) |
19. | root | solokey | 104 | 33. | 45 | +59 | ZKSoftware製の端末を狙ったものと思われる(参照) |
20. | root | 1111 | 102 | 26. | 58 | +44 | - |
admin/admin
の組み合わせのうち約96%がイギリス、アイルランド、ロシアからのログイン試行の際に使用されていました。- イギリスは1,755件でした。
- アイルランドは1,286件でした。
- ロシアは1,114件でした。
プロトコル別コネクション
全体及び国別のプロトコル別コネクション件数の遷移等は以下の通りです。
- SSHコネクション件数は4,686件、Telnetコネクション件数は7,675件でした。
- SSHコネクションを行ったユニークIPアドレスの件数は485件、Telnetコネクションを行ったユニークIPアドレスの件数は93件でした。
国別のSSHコネクション件数
国別のSSHコネクション件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United Kingdom | 1,776 | 1. | 1,972 | -196 | - |
2. | Ireland | 1,293 | 2. | 1,300 | -7 | - |
3. | Russia | 1,132 | 3. | 817 | +315 | - |
4. | China | 130 | 4. | 126 | +4 | - |
5. | United States | 64 | 5. | 68 | -4 | - |
6. | France | 58 | 6. | 58 | +-0 | - |
7. | Brazil | 20 | 7. | 14 | +6 | - |
8. | Singapore | 19 | 10. | 12 | +7 | - |
9. | India | 17 | 13. | 11 | +6 | - |
10. | South Korea | 16 | 12. | 11 | +5 | - |
11. | Germany | 14 | 8. | 14 | +-0 | - |
12. | Colombia | 14 | 27. | 3 | +11 | - |
13. | Netherlands | 12 | 14. | 10 | +2 | - |
14. | Canada | 11 | 15. | 9 | +2 | - |
15. | Italy | 10 | 18. | 6 | +4 | - |
16. | Indonesia | 8 | 16. | 9 | -1 | - |
17. | Poland | 7 | 33. | 2 | +5 | - |
18. | Vietnam | 7 | 9. | 13 | -6 | - |
19. | Philippines | 6 | - | - | +6 | - |
20. | Taiwan | 4 | 23. | 3 | +1 | - |
国別のTelnetコネクション件数
国別のTelnetコネクション件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 5,662 | 1. | 4,741 | +921 | - |
2. | Canada | 1,112 | 6. | 20 | +1,092 | - |
3. | Netherlands | 620 | 2. | 945 | -325 | - |
4. | India | 56 | 4. | 67 | -11 | - |
5. | Romania | 48 | 12. | 11 | +37 | - |
6. | Latvia | 38 | 8. | 14 | +24 | - |
7. | China | 21 | 5. | 41 | -20 | - |
8. | Brazil | 18 | 10. | 11 | +7 | - |
9. | Ukraine | 12 | 13. | 10 | +2 | - |
10. | Italy | 11 | 3. | 82 | -71 | - |
11. | Botswana | 10 | 26. | 1 | +9 | - |
12. | Argentina | 10 | 36. | 1 | +9 | - |
13. | Sweden | 10 | - | - | +10 | - |
14. | Saudi Arabia | 7 | - | - | +7 | - |
15. | United Kingdom | 7 | 22. | 2 | +5 | - |
16. | Israel | 6 | 30. | 1 | +5 | - |
17. | Vietnam | 6 | 9. | 12 | -6 | - |
18. | France | 4 | 7. | 15 | -11 | - |
19. | Turkey | 2 | 11. | 11 | -9 | - |
20. | Hong Kong | 2 | 35. | 1 | +1 | - |
ダウンロードされたファイル
全体及び国別のダウンロードされたファイルの件数の遷移等は以下の通りです。
- ダウンロードに成功した件数が4,218件、失敗した件数が4,192件で、ほぼ同数でした。
続いて、ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/59 | 2,202 |
2. | Mirai | hxxp://159[.]203[.]36[.]162:80/AB4g5/Josho[.]x86 | 1b8679b0b968b309fa9553abccf14370 | 21/58 | 657 |
3. | Mirai | hxxp://185[.]244[.]25[.]194:80/nicetryspecial/kowei[.]x86 | e310bb166f1ceccef9886842f5d14a8a | 25/58 | 295 |
4. | Mirai | hxxp://159[.]89[.]112[.]194:80/AB4g5/Josho[.]x86 | e51b7f8d2478e57a72cffadd78514a53 | 20/58 | 285 |
5. | Mirai | hxxp://198[.]98[.]53[.]130:80/AB4g5/Josho[.]x86 | 7544f86f9a5906d26d1111519f9ad025 | 26/59 | 175 |
6. | Mirai(ダウンローダー) | hxxp://89[.]46[.]223[.]247/8UsA[.]sh | 3dae78adf9f4a8520afb9ff9d701d3ab | 28/58 | 121 |
7. | Mirai | hxxp://154[.]85[.]35[.]82:80/bins/sora[.]x86 | ad85ddab344a0124d8b7788020051d2b | 21/58 | 107 |
8. | Mirai | hxxp://185[.]244[.]25[.]194:80/nicetryspecial/beatmymalware[.]x86 | fa69003508f4b316db4b352a1d502a81 | 29/57 | 92 |
9. | Mirai | hxxp://159[.]89[.]112[.]194:80/AB4g5/Josho[.]x86 | 67ba6af9eec46848032b156e26c6b391 | 21/59 | 80 |
10. | Mirai | hxxp://209[.]141[.]33[.]126:80/brother/x86[.]bot | 591313719348cbe85190e20afb8c391c | 25/58 | 60 |
11. | Mirai | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 23/57 | 30 |
12. | Mirai | hxxp://185[.]244[.]25[.]203:80/blackc/blackc[.]x86 | 3e3908612aac65ba8b10ac6bcbf7d45c | 24/58 | 19 |
13. | Mirai | hxxp://185[.]244[.]25[.]241:80/bins/cock[.]x86 | 7cd9788dd9a5e97ca2e0a0480d4c377a | 22/57 | 13 |
14. | Mirai | hxxp://188[.]166[.]91[.]186:80/bins/hoho[.]x86 | 2dfb6ee4890628ebd93df4871504380e | 27/57 | 13 |
15. | Mirai | hxxp://35[.]235[.]102[.]123:80/AB4g5/Josho[.]x86 | 8e4a0a4408c3351e132e56ca32e7c4d5 | 29/59 | 11 |
16. | Mirai | hxxp://67[.]205[.]146[.]54:80/vb/Oasis[.]x86 | 2dd81a23365d1f4bee3a6a05b0a25aaa | 19/58 | 9 |
17. | Mirai | hxxp://104[.]168[.]143[.]19:80/bins/hoho[.]x86 | 3f5952ac6c1373b7a50f9de464f67c46 | 26/58 | 8 |
18. | Mirai | hxxp://80[.]211[.]6[.]16:80/bins/hoho[.]x86 | 8540fb179a01749ec08c90001bb7cb76 | 29/58 | 8 |
19. | Mirai | hxxp://142[.]93[.]211[.]141:80/kira1/kirai[.]x86 | 092caac279305ae51a44de4e2fecc85a | 28/59 | 8 |
20. | Mirai or Gafgyt | hxxp://185[.]222[.]202[.]118:80/bins/x86 | 5ac4dea299a0dc62ea0541579aa36f37 | 23/59 | 7 |
21. | Mirai | hxxp://199[.]38[.]245[.]221:80/bins/kowai[.]x86 | b281139bc73b325794c11460d1fc76be | 20/58 | 5 |
22. | Mirai | hxxp://67[.]205[.]146[.]54:80/bins/Shine[.]x86 | 9289dc500f6c73580b59af5f356cbf7b | 11/59 | 3 |
23. | Mirai | hxxp://67[.]205[.]146[.]54:80/bins/hoho[.]x86 | c186257c29063649fdaeb7a2b8332614 | 21/56 | 3 |
24. | Mirai | hxxp://67[.]205[.]146[.]54:80/bins/Shine[.]x86 | 1448f398eccb101fd76570be90aa7983 | 23/58 | 3 |
25. | CoinMiner | hxxp://snaiparul[.]cf/bash | 630d71de0d61fc718380d684de1f9a27 | 24/59 | 1 |
26. | Ganiw | hxxp://156[.]236[.]116[.]94:7777/ppol | 5d9ca3020c64a239b84e32aca08af87b | 38/59 | 1 |
27. | Mirai | hxxp://137[.]74[.]242[.]234:80/binary/x86[.]h | 7897496f222f227310138b15e8c46ba1 | 24/58 | 1 |
28. | CoinMinerのコンフィグファイル | hxxp://snaiparul[.]cf/config[.]json | 3d8444aae22ac3f05ca42bcd629b4f16 | 14/58 | 1 |
- CoinMiner本体とそのコンフィグファイルを初めて観測しました。
CoinMiner
- コンフィグファイルの内容を確認すると、モネロ(XMR)を採掘するように設定されていました。
- マイニングプールとして
xmr-eu1.nanopool.org:14444
が設定されていました。 - 攻撃手順は、SSHで
root/root
の組み合わせでログイン後、/var/tmp
に移動し、CoinMiner本体とそのコンフィグファイルをダウンロードし、CoinMiner本体を実行していました。 - 攻撃者のIPアドレスはOVH SAS(AS16276)に登録されていました。
国別のダウンロードされたファイル
国別のダウンロードされたファイルは以下の通りです。
アメリカ
アメリカからのアクセスによるセッション中にダウンロードされたファイル(上位5位)は以下の通りです。
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/59 | 2,202 |
2. | Mirai | hxxp://198[.]98[.]53[.]130:80/AB4g5/Josho[.]x86 | 7544f86f9a5906d26d1111519f9ad025 | 26/59 | 175 |
3. | Mirai | hxxp://154[.]85[.]35[.]82:80/bins/sora[.]x86 | ad85ddab344a0124d8b7788020051d2b | 21/58 | 107 |
4. | Mirai | hxxp://209[.]141[.]33[.]126:80/brother/x86[.]bot | 591313719348cbe85190e20afb8c391c | 25/58 | 60 |
5. | Mirai(ダウンローダー) | hxxp://89[.]46[.]223[.]247/8UsA[.]sh | 3dae78adf9f4a8520afb9ff9d701d3ab | 28/58 | 30 |
- 1~4位のファイルは全てアメリカからのアクセスによるセッション中にダウンロードされていました。
カナダ
カナダからのアクセスによるセッション中にダウンロードされたファイルは以下の通りです。
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai | hxxp://159[.]203[.]36[.]162:80/AB4g5/Josho[.]x86 | 1b8679b0b968b309fa9553abccf14370 | 21/58 | 657 |
2. | Mirai | hxxp://159[.]89[.]112[.]194:80/AB4g5/Josho[.]x86 | e51b7f8d2478e57a72cffadd78514a53 | 20/58 | 285 |
3. | Mirai | hxxp://159[.]89[.]112[.]194:80/AB4g5/Josho[.]x86 | 67ba6af9eec46848032b156e26c6b391 | 21/59 | 80 |
- 上記のファイルは全てカナダからのアクセスによるセッション中にダウンロードされていました。
オランダ
オランダからのアクセスによるセッション中にダウンロードされたファイルは以下の通りです。
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai | hxxp://185[.]244[.]25[.]194:80/nicetryspecial/kowei[.]x86 | e310bb166f1ceccef9886842f5d14a8a | 25/58 | 295 |
2. | Mirai | hxxp://185[.]244[.]25[.]194:80/nicetryspecial/beatmymalware[.]x86 | fa69003508f4b316db4b352a1d502a81 | 29/57 | 92 |
3. | Mirai | hxxp://185[.]244[.]25[.]203:80/blackc/blackc[.]x86 | 3e3908612aac65ba8b10ac6bcbf7d45c | 24/58 | 19 |
4. | Mirai | hxxp://185[.]244[.]25[.]241:80/bins/cock[.]x86 | 7cd9788dd9a5e97ca2e0a0480d4c377a | 22/57 | 13 |
5. | Mirai | hxxp://188[.]166[.]91[.]186:80/bins/hoho[.]x86 | 2dfb6ee4890628ebd93df4871504380e | 27/57 | 13 |
- カナダと同じく、上記のファイルは全てオランダからのアクセスによるセッション中にダウンロードされていました。
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/02/02 (土) 00:00~23:59 UTC(運用30日目)に取得したログの簡易分析です。
特徴
- コロンビアから初めて見るパターンの探査を観測しました。
- 2日連続でMASSCANによるスキャンを観測しました。
概況
- 集計期間 : 2019/02/02 (土) 00:00~23:59 UTC
- 総アクセス件数 : 328 件(前日比 +302 件)
- WebShellの探査 : 128 件
- phpMyAdminの探査 : 101 件
- トップページへのアクセス : 30 件
- Tomcatの管理ページに対するログイン試行 : 16 件
- SQLiteManagerの探査(初観測) : 14 件
- MySQLDumperの探査(初観測) : 11 件
- WordPressの探査(初観測) : 6 件
- CGI版PHPの探査(初観測) : 2件
- Joomla!の探査(初観測) : 2 件
- Network Weathermapの探査 : 2 件
- WebDAVの探査 : 2 件
- Drupalの探査(初観測) : 1 件
- JBoss Application Serverの探査又はJBoss Application Serverの脆弱性を利用した攻撃(参照)(初観測) : 1 件
- Jenkinsの探査(初観測) : 1 件
- JMXコンソールの探査(初観測) : 1 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 1 件
- SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 : 1 件
- その他 : 3 件
- 不明(初観測) : 5 件
- ユニークIPアドレス件数 : 20 件 (前日比 -5 件)
- アクセス元の国数 : 12 カ国 (前日比 -1 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 232 | 3. | 3 | +229 | - |
2. | Colombia | 76 | - | 0 | +76 | - |
3. | Seychelles | 5 | - | 0 | +5 | - |
4. | Brazil | 4 | 2. | 6 | -2 | - |
5. | Ukraine | 3 | 8. | 1 | +2 | - |
6. | United States | 2 | 1. | 6 | -4 | - |
7. | Peru | 1 | - | 0 | +1 | - |
8. | Indonesia | 1 | - | 0 | +1 | - |
9. | Greece | 1 | - | 0 | +1 | - |
10. | France | 1 | - | 0 | +1 | - |
11. | Spain | 1 | 13. | 1 | +-0 | - |
12. | Ecuador | 1 | - | 0 | +1 | - |
- 中国、コロンビアからのアクセス件数が増加しました。
- 中国からのアクセスの目的は以前から何度も観測しているWebShellやphpMyAdminの探査を中心としたものでした。
- 上記の中国からの探査はCHINANET SiChuan(AS38283)に登録された1つのIPアドレスから行われていました。
- 一方、コロンビアからのアクセスは今回が初観測のパターンの探査で、CMSなどの探査を目的としたものでした。
- 上記のコロンビアからの探査はTelmex Colombia S.A.(AS14080)に登録された1つのIPアドレスから行われていました。
- 中国からのアクセスの目的は以前から何度も観測しているWebShellやphpMyAdminの探査を中心としたものでした。
アクセス先
アクセス先(上位20位+気になったもの)は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 28 | 1. | 20 | +8 |
2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 16 | - | 0 | +16 |
3. | WebShellの探査 | POST /qq.php HTTP/1.1 | 3 | - | 0 | +3 |
4. | トップページへのアクセス | GET / HTTP/1.0 | 2 | 2. | 3 | -1 |
5. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 2 | - | 0 | +2 |
6. | WebShellの探査 | POST /xx.php HTTP/1.1 | 2 | - | 0 | +2 |
7. | WebShellの探査 | POST /s.php HTTP/1.1 | 2 | - | 0 | +2 |
8. | WebShellの探査 | POST /conflg.php HTTP/1.1 | 2 | - | 0 | +2 |
9. | WebShellの探査 | POST /q.php HTTP/1.1 | 2 | - | 0 | +2 |
10. | WebShellの探査 | POST /test.php HTTP/1.1 | 2 | - | 0 | +2 |
11. | phpMyAdminの探査 | GET /phpmyadmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
12. | phpMyAdminの探査 | GET /phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
13. | phpMyAdminの探査 | GET /pma/index.php HTTP/1.1 | 2 | - | 0 | +2 |
14. | phpMyAdminの探査 | GET /PMA/index.php HTTP/1.1 | 2 | - | 0 | +2 |
15. | phpMyAdminの探査 | GET /web/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
16. | phpMyAdminの探査 | GET /admin/pma/index.php HTTP/1.1 | 2 | - | 0 | +2 |
17. | phpMyAdminの探査 | GET /admin/PMA/index.php HTTP/1.1 | 2 | - | 0 | +2 |
18. | phpMyAdminの探査 | GET /admin/phpmyadmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
19. | phpMyAdminの探査 | GET /xampp/phpmyadmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
20. | phpMyAdminの探査 | GET /www/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
26. | MySQLDumperの探査及びSQLiteManagerの探査 | GET /main.php HTTP/1.1 | 2 | - | 0 | +2 |
... | ... | ... | ... | ... | ... | ... |
29. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 1 | - | 0 | +1 |
30. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 1 | - | 0 | +1 |
... | ... | ... | ... | ... | ... | ... |
65. | Network Weathermapの探査 | GET /plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
66. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
... | ... | ... | ... | ... | ... | ... |
205. | Drupalの探査 | GET /drupal/ HTTP/1.1 | 1 | - | 0 | +1 |
206. | 不明 | GET /cms/ HTTP/1.1 | 1 | - | 0 | +1 |
207. | JBoss Application Serverの探査又はJBoss Application Serverの脆弱性を利用した攻撃(参照) | GET /status?full=true HTTP/1.1 | 1 | - | 0 | +1 |
208. | 不明 | GET /script HTTP/1.1 | 1 | - | 0 | +1 |
209. | Jenkinsの探査 | GET /jenkins/script HTTP/1.1 | 1 | - | 0 | +1 |
210. | 不明 | GET /login HTTP/1.1 | 1 | - | 0 | +1 |
211. | JMXコンソールの探査 | GET /jmx-console HTTP/1.1 | 1 | - | 0 | +1 |
212. | 不明 | GET //administrator HTTP/1.1 | 1 | - | 0 | +1 |
213. | Joomla!の探査 | GET /joomla/administrator HTTP/1.1 | 1 | - | 0 | +1 |
214. | 不明 | GET /cms/administrator HTTP/1.1 | 1 | - | 0 | +1 |
215. | Joomla!の探査 | GET /Joomla/administrator HTTP/1.1 | 1 | - | 0 | +1 |
216. | MySQLDumperの探査 | GET /msd HTTP/1.1 | 1 | - | 0 | +1 |
217. | MySQLDumperの探査 | GET /mySqlDumper HTTP/1.1 | 1 | - | 0 | +1 |
218. | MySQLDumperの探査 | GET /Dumper HTTP/1.1 | 1 | - | 0 | +1 |
219. | MySQLDumperの探査 | GET /msd1.24stable HTTP/1.1 | 1 | - | 0 | +1 |
220. | MySQLDumperの探査 | GET /MySQLDumper1.24.4 HTTP/1.1 | 1 | - | 0 | +1 |
221. | MySQLDumperの探査 | GET /MySQLDumper1.24.4stable HTTP/1.1 | 1 | - | 0 | +1 |
222. | MySQLDumperの探査 | GET /msd1.24.4 HTTP/1.1 | 1 | - | 0 | +1 |
223. | MySQLDumperの探査 | GET /msd1 HTTP/1.1 | 1 | - | 0 | +1 |
224. | MySQLDumperの探査 | GET /mysqldumper HTTP/1.1 | 1 | - | 0 | +1 |
225. | MySQLDumperの探査 | GET /MySQLDumper HTTP/1.1 | 1 | - | 0 | +1 |
226. | CGI版PHPの探査 | GET /cgi-bin/php HTTP/1.1 | 1 | - | 0 | +1 |
227. | CGI版PHPの探査 | GET /cgi-bin/php5 HTTP/1.1 | 1 | - | 0 | +1 |
... | ... | ... | ... | ... | ... | ... |
236. | SQLiteManagerの探査 | GET /sqlite/main.php HTTP/1.1 | 1 | - | 0 | +1 |
237. | SQLiteManagerの探査 | GET /SQLite/SQLiteManager-1.2.4/main.php HTTP/1.1 | 1 | - | 0 | +1 |
238. | SQLiteManagerの探査 | GET /SQLiteManager-1.2.0/main.php HTTP/1.1 | 1 | - | 0 | +1 |
239. | SQLiteManagerの探査 | GET /SQLM/main.php HTTP/1.1 | 1 | - | 0 | +1 |
240. | SQLiteManagerの探査 | GET /main.php/main.php HTTP/1.1 | 1 | - | 0 | +1 |
241. | SQLiteManagerの探査 | GET /mysql_lite_manager/main.php HTTP/1.1 | 1 | - | 0 | +1 |
242. | SQLiteManagerの探査 | GET /sqlite_manager/main.php HTTP/1.1 | 1 | - | 0 | +1 |
243. | SQLiteManagerの探査 | GET /~sqlitemanager/main.php HTTP/1.1 | 1 | - | 0 | +1 |
244. | SQLiteManagerの探査 | GET /SQLiteManager-1.2.4/main.php HTTP/1.1 | 1 | - | 0 | +1 |
245. | SQLiteManagerの探査 | GET /sqlitemanager120/main.php HTTP/1.1 | 1 | - | 0 | +1 |
246. | SQLiteManagerの探査 | GET /sqlitemanager/main.php HTTP/1.1 | 1 | - | 0 | +1 |
247. | SQLiteManagerの探査 | GET /SQlite/main.php HTTP/1.1 | 1 | - | 0 | +1 |
248. | SQLiteManagerの探査 | GET /SQLiteManager/main.php HTTP/1.1 | 1 | - | 0 | +1 |
249. | WebDAVの探査 | GET /webdav HTTP/1.1 | 1 | - | 0 | +1 |
250. | WordPressの探査 | GET //wp-login.php HTTP/1.1 | 1 | - | 0 | +1 |
251. | WordPressの探査 | GET /wordpress/wp-login.php HTTP/1.1 | 1 | - | 0 | +1 |
252. | WordPressの探査 | GET /wp/wp-login.php HTTP/1.1 | 1 | - | 0 | +1 |
253. | WordPressの探査 | GET /blog/wp-login.php HTTP/1.1 | 1 | - | 0 | +1 |
254. | WordPressの探査 | GET /Wordpress/wp-login.php HTTP/1.1 | 1 | - | 0 | +1 |
255. | WordPressの探査 | GET /Blog/wp-login.php HTTP/1.1 | 1 | - | 0 | +1 |
... | ... | ... | ... | ... | ... | ... |
258. | SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 | GET /.well-known/security.txt HTTP/1.1 | 1 | - | 0 | +1 |
- 以下のアクセスを初めて観測しました。
- 上記のアクセスは全てコロンビアから行われていました。
- 2日連続でMASSCANによるスキャンを観測しました。
- 観測した件数は1件でした。
- User-Agentは
masscan/1.0 (https://github.com/robertdavidgraham/masscan)
でした。
コロンビアからの初めて見るパターンの探査
今回観測したコロンビアからの探査は、今まで観測したことのない探査のパターンでした。
今回の探査の特徴は、全てのアクセスでUser-Agent: Python-urllib/2.7
が設定されていることです。
また、全てのアクセスでHTTPボディはありませんでした。
探査に用いられたリクエストラインの一覧は以下の通りです。
順番 | 備考 | リクエストライン |
---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 |
2. | Drupalの探査 | GET /drupal/ HTTP/1.1 |
3. | 不明 | GET /cms/ HTTP/1.1 |
4. | JBoss Application Serverの探査またはJBoss Application Serverの脆弱性を利用した攻撃(参照) | GET /status?full=true HTTP/1.1 |
5. | トップページへのアクセス | GET / HTTP/1.1 |
6. | 不明 | GET /script HTTP/1.1 |
7. | Jenkinsの探査 | GET /jenkins/script HTTP/1.1 |
8. | 不明 | GET /login HTTP/1.1 |
9. | JMXコンソールの探査 | GET /jmx-console HTTP/1.1 |
10. | トップページへのアクセス | GET / HTTP/1.1 |
11. | トップページへのアクセス | GET / HTTP/1.1 |
12. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 |
13. | トップページへのアクセス | GET / HTTP/1.1 |
14. | トップページへのアクセス | GET / HTTP/1.1 |
15. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 |
16. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 |
17. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 |
18. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 |
19. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 |
20. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 |
21. | トップページへのアクセス | GET / HTTP/1.1 |
22. | 不明 | GET //administrator HTTP/1.1 |
23. | Joomla!の探査 | GET /joomla/administrator HTTP/1.1 |
24. | 不明 | GET /cms/administrator HTTP/1.1 |
25. | Joomla!の探査 | GET /Joomla/administrator HTTP/1.1 |
26. | MySQLDumperの探査 | GET /msd HTTP/1.1 |
27. | MySQLDumperの探査 | GET /mySqlDumper HTTP/1.1 |
28. | MySQLDumperの探査 | GET /Dumper HTTP/1.1 |
29. | MySQLDumperの探査 | GET /msd1.24stable HTTP/1.1 |
30. | MySQLDumperの探査 | GET /main.php HTTP/1.1 |
31. | MySQLDumperの探査 | GET /MySQLDumper1.24.4 HTTP/1.1 |
32. | MySQLDumperの探査 | GET /MySQLDumper1.24.4stable HTTP/1.1 |
33. | MySQLDumperの探査 | GET /msd1.24.4 HTTP/1.1 |
34. | トップページへのアクセス | GET / HTTP/1.1 |
35. | MySQLDumperの探査 | GET /msd1 HTTP/1.1 |
36. | MySQLDumperの探査 | GET /mysqldumper HTTP/1.1 |
37. | MySQLDumperの探査 | GET /MySQLDumper HTTP/1.1 |
38. | phpMyAdminの探査 | GET /mysql HTTP/1.1 |
39. | phpMyAdminの探査 | GET /sql HTTP/1.1 |
40. | CGI版PHPの探査 | GET /cgi-bin/php HTTP/1.1 |
41. | CGI版PHPの探査 | GET /cgi-bin/php5 HTTP/1.1 |
42. | phpMyAdminの探査 | GET /phpmyadmin HTTP/1.1 |
43. | phpMyAdminの探査 | GET /phpMyAdmin HTTP/1.1 |
44. | phpMyAdminの探査 | GET /mysql HTTP/1.1 |
45. | phpMyAdminの探査 | GET /sql HTTP/1.1 |
46. | phpMyAdminの探査 | GET /myadmin HTTP/1.1 |
47. | phpMyAdminの探査 | GET /phpMyAdmin-4.2.1-all-languages HTTP/1.1 |
48. | phpMyAdminの探査 | GET /phpMyAdmin-4.2.1-english HTTP/1.1 |
49. | phpMyAdminの探査 | GET /xampp/phpmyadmin HTTP/1.1 |
50. | phpMyAdminの探査 | GET /typo3/phpmyadmin HTTP/1.1 |
51. | phpMyAdminの探査 | GET /webadmin HTTP/1.1 |
52. | トップページへのアクセス | GET / HTTP/1.1 |
53. | SQLiteManagerの探査 | GET /sqlite/main.php HTTP/1.1 |
54. | SQLiteManagerの探査 | GET /SQLite/SQLiteManager-1.2.4/main.php HTTP/1.1 |
55. | SQLiteManagerの探査 | GET /SQLiteManager-1.2.0/main.php HTTP/1.1 |
56. | SQLiteManagerの探査 | GET /SQLM/main.php HTTP/1.1 |
57. | SQLiteManagerの探査 | GET /main.php/main.php HTTP/1.1 |
58. | SQLiteManagerの探査 | GET /mysql_lite_manager/main.php HTTP/1.1 |
59. | SQLiteManagerの探査 | GET /sqlite_manager/main.php HTTP/1.1 |
60. | SQLiteManagerの探査 | GET /main.php HTTP/1.1 |
61. | SQLiteManagerの探査 | GET /~sqlitemanager/main.php HTTP/1.1 |
62. | SQLiteManagerの探査 | GET /SQLiteManager-1.2.4/main.php HTTP/1.1 |
63. | SQLiteManagerの探査 | GET /sqlitemanager120/main.php HTTP/1.1 |
64. | SQLiteManagerの探査 | GET /sqlitemanager/main.php HTTP/1.1 |
65. | SQLiteManagerの探査 | GET /SQlite/main.php HTTP/1.1 |
66. | SQLiteManagerの探査 | GET /SQLiteManager/main.php HTTP/1.1 |
67. | WebDaVの探査 | GET /webdav HTTP/1.1 |
68. | トップページへのアクセス | GET / HTTP/1.1 |
69. | トップページへのアクセス | GET / HTTP/1.1 |
70. | トップページへのアクセス | GET / HTTP/1.1 |
71. | WordPressの探査 | GET //wp-login.php HTTP/1.1 |
72. | WordPressの探査 | GET /wordpress/wp-login.php HTTP/1.1 |
73. | WordPressの探査 | GET /wp/wp-login.php HTTP/1.1 |
74. | WordPressの探査 | GET /blog/wp-login.php HTTP/1.1 |
75. | WordPressの探査 | GET /Wordpress/wp-login.php HTTP/1.1 |
76. | WordPressの探査 | GET /Blog/wp-login.php HTTP/1.1 |
WOWHoneypotで取得したログの簡易分析は以上です。