ハニーポット観察日記(2019/02/06)
はじめに
こんにちは。cute_otterです。
イギリスからのアクセスに変化があったので、今後も継続して監視していきたいです。
Cowrie
ハニーポット「Cowrie」で2019/02/06 (水) 00:00~23:59 UTC(運用85日目)に取得したログの簡易分析です。
特徴
- イギリスからのSSHコネクションが普段より2,000件ほど減少し、Telnetコネクションが普段より2,000件ほど増加しました。
- 攻撃の対象が変化したのでしょうか。
- また、イギリスからのログイン試行で普段はadmin/adminの組み合わせが2,000件ほど使用されていましたが、今日は22件でした。
- アメリカからのアクセスが普段の10分の1ほどでした。
概況
- 集計期間 : 2019/02/06 (水) 00:00~23:59 UTC
- 総アクセス件数 : 194,092 件 (前日比 - 件)
- ユニークIPアドレス : 586 件 (前日比 - 件)
- アクセス元の国 : 69 件 (前日比 - 件)
- ログイン試行 : 7,935 件 (前日比 - 件)
- SSHコネクション : 4,474 件 (前日比 - 件)
- Telnetコネクション : 3,503 件 (前日比 - 件)
- ダウンロードされたファイル : 2,776 件 (前日比 - 件)
アクセス
全体及び国別のアクセス件数の遷移等は以下の通りです。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | United Kingdom | 96,742 | - | - | - | - |
| 2. | Netherlands | 28,667 | - | - | - | - |
| 3. | United States | 23,155 | - | - | - | - |
| 4. | Ireland | 15,784 | - | - | - | - |
| 5. | Latvia | 11,859 | - | - | - | - |
| 6. | Russia | 8,517 | - | - | - | - |
| 7. | Romania | 1,585 | - | - | - | - |
| 8. | India | 1,392 | - | - | - | - |
| 9. | China | 1,222 | - | - | - | - |
| 10. | Brazil | 753 | - | - | - | - |
| 11. | France | 461 | - | - | - | - |
| 12. | South Korea | 438 | - | - | - | - |
| 13. | Germany | 417 | - | - | - | - |
| 14. | Taiwan | 360 | - | - | - | - |
| 15. | Indonesia | 266 | - | - | - | - |
| 16. | Colombia | 228 | - | - | - | - |
| 17. | Mexico | 209 | - | - | - | - |
| 18. | Singapore | 176 | - | - | - | - |
| 19. | Italy | 159 | - | - | - | - |
| 20. | Poland | 128 | - | - | - | - |
- アメリカからのアクセスが普段の10分の1ほどでした。
- オランダからのアクセスのうち約97%が4つのIPアドレスから行われていました。
- イギリスからのアクセスのうち約99%が1つのIPアドレスから行われていました。
- IPアドレスはDigitalOcean, LLC(AS14061)に登録されていました。
- ラトビアからの全てのアクセスが1つのIPアドレスから行われていました。
- IPアドレスはDataClub S.A.(AS52048)に登録されていました。
- また、ラトビアからのアクセスのうち約96%が11時台に集中していました。
ユニークIPアドレス
国別のユニークIPアドレスの件数(上位20位)は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | China | 101 | - | - | - | - |
| 2. | United States | 68 | - | - | - | - |
| 3. | Brazil | 42 | - | - | - | - |
| 4. | India | 31 | - | - | - | - |
| 5. | France | 28 | - | - | - | - |
| 6. | South Korea | 28 | - | - | - | - |
| 7. | Russia | 22 | - | - | - | - |
| 8. | Indonesia | 18 | - | - | - | - |
| 9. | Netherlands | 15 | - | - | - | - |
| 10. | Mexico | 14 | - | - | - | - |
| 11. | Colombia | 13 | - | - | - | - |
| 12. | Germany | 13 | - | - | - | - |
| 13. | Taiwan | 13 | - | - | - | - |
| 14. | United Kingdom | 11 | - | - | - | - |
| 15. | Italy | 11 | - | - | - | - |
| 16. | Singapore | 11 | - | - | - | - |
| 17. | Vietnam | 10 | - | - | - | - |
| 18. | Argentina | 10 | - | - | - | - |
| 19. | Poland | 8 | - | - | - | - |
| 20. | Romania | 6 | - | - | - | - |
ログイン試行
全体及び国別のログイン試行件数の遷移等は以下の通りです。
続いて、国別のログイン試行の件数(上位20位)は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | Ireland | 2,301 | - | - | - | - |
| 2. | United Kingdom | 2,179 | - | - | - | - |
| 3. | Russia | 1,227 | - | - | - | - |
| 4. | Netherlands | 526 | - | - | - | - |
| 5. | United States | 367 | - | - | - | - |
| 6. | Latvia | 255 | - | - | - | - |
| 7. | China | 185 | - | - | - | - |
| 8. | Brazil | 105 | - | - | - | - |
| 9. | India | 86 | - | - | - | - |
| 10. | France | 77 | - | - | - | - |
| 11. | Romania | 76 | - | - | - | - |
| 12. | South Korea | 55 | - | - | - | - |
| 13. | Indonesia | 46 | - | - | - | - |
| 14. | Mexico | 37 | - | - | - | - |
| 15. | Taiwan | 37 | - | - | - | - |
| 16. | Colombia | 34 | - | - | - | - |
| 17. | Germany | 32 | - | - | - | - |
| 18. | Singapore | 32 | - | - | - | - |
| 19. | Italy | 24 | - | - | - | - |
| 20. | Poland | 22 | - | - | - | - |
ユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
| 順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|---|
| 1. | admin | admin | 3,463 | - | - | - | - |
| 2. | root | taZz@23495859 | 246 | - | - | - | - |
| 3. | root | solokey | 227 | - | - | - | ZKSoftware製の端末を狙ったものと思われる(参照) |
| 4. | root | tsgoingon | 172 | - | - | - | - |
| 5. | telnetadmin | telnetadmin | 124 | - | - | - | - |
| 6. | root | tl789 | 85 | - | - | - | - |
| 7. | root | vizxv | 75 | - | - | - | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
| 8. | user | user | 68 | - | - | - | - |
| 9. | root | default | 67 | - | - | - | - |
| 10. | root | system | 67 | - | - | - | - |
| 11. | root | zlxx. | 65 | - | - | - | EV ZLX製のスピーカーを狙ったものと思われる(参照) |
| 12. | root | ROOT500 | 64 | - | - | - | Avaya製の製品を狙ったとものと思われる(参照) |
| 13. | root | t0talc0ntr0l4! | 57 | - | - | - | Control4製の製品を狙ったものと思われる(参照) |
| 14. | root | grouter | 57 | - | - | - | Shida製の2110EH Routerを狙ったものと思われる(参照) |
| 15. | root | hi3518 | 56 | - | - | - | Xiongmai製のDVRを狙ったものと思われる(参照) |
| 16. | root | jvbzd | 56 | - | - | - | Xiongmai製のDVRを狙ったものと思われる(参照) |
| 17. | root | xc3511 | 53 | - | - | - | HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照) |
| 18. | admin | 1111 | 52 | - | - | - | - |
| 19. | root | antslq | 51 | - | - | - | - |
| 20. | root | 20080826 | 51 | - | - | - | - |
国別のユーザ名とパスワード
国別のログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
| 順位 | 国名 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|---|---|
| 1. | Ireland | admin | admin | 2,298 | - | - | - | - |
| 2. | Russia | admin | admin | 1,097 | - | - | - | - |
| 3. | United Kingdom | root | taZz@23495859 | 232 | - | - | - | - |
| 4. | United Kingdom | root | solokey | 195 | - | - | - | ZKSoftware製の端末を狙ったものと思われる(参照) |
| 5. | United Kingdom | root | tsgoingon | 144 | - | - | - | - |
| 6. | United Kingdom | telnetadmin | telnetadmin | 88 | - | - | - | - |
| 7. | United Kingdom | root | vizxv | 64 | - | - | - | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
| 8. | United Kingdom | root | ROOT500 | 62 | - | - | - | Avaya製の製品を狙ったとものと思われる(参照) |
| 9. | United Kingdom | root | default | 62 | - | - | - | - |
| 10. | United Kingdom | user | user | 61 | - | - | - | - |
| 11. | United Kingdom | root | system | 60 | - | - | - | - |
| 12. | United Kingdom | root | t0talc0ntr0l4! | 57 | - | - | - | Control4製の製品を狙ったものと思われる(参照) |
| 13. | United Kingdom | root | zlxx. | 55 | - | - | - | EV ZLX製のスピーカーを狙ったものと思われる(参照) |
| 14. | United Kingdom | root | antslq | 50 | - | - | - | - |
| 15. | Netherlands | admin | 1111 | 46 | - | - | - | - |
| 16. | United Kingdom | root | ipcam_rt5350 | 46 | - | - | - | - |
| 17. | Netherlands | root | tl789 | 44 | - | - | - | - |
| 18. | United Kingdom | root | hi3518 | 44 | - | - | - | Xiongmai製のDVRを狙ったものと思われる(参照) |
| 19. | United Kingdom | root | 7ujMko0vizxv | 44 | - | - | - | Dahua製のIPカメラを狙ったものと思われる(参照) |
| 20. | Netherlands | root | svgodie | 43 | - | - | - | - |
admin/adminの組み合わせのうち約98%がアイルランド、ロシアからのログイン試行の際に使用されていました。
プロトコル別コネクション
全体及び国別のプロトコル別コネクション件数の遷移等は以下の通りです。
- SSHコネクション件数は4,474件、Telnetコネクション件数は3,503件でした。
- SSHコネクションを行ったユニークIPアドレスの件数は452件、Telnetコネクションを行ったユニークIPアドレスの件数は136件でした。
国別のSSHコネクション件数
国別のSSHコネクション件数(上位20位)は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | Ireland | 2,301 | - | - | - | - |
| 2. | Russia | 1,135 | - | - | - | - |
| 3. | China | 185 | - | - | - | - |
| 4. | United States | 98 | - | - | - | - |
| 5. | Brazil | 89 | - | - | - | - |
| 6. | France | 86 | - | - | - | - |
| 7. | India | 63 | - | - | - | - |
| 8. | Indonesia | 46 | - | - | - | - |
| 9. | South Korea | 41 | - | - | - | - |
| 10. | Mexico | 37 | - | - | - | - |
| 11. | Singapore | 32 | - | - | - | - |
| 12. | Colombia | 30 | - | - | - | - |
| 13. | Germany | 26 | - | - | - | - |
| 14. | Italy | 23 | - | - | - | - |
| 15. | Poland | 22 | - | - | - | - |
| 16. | United Kingdom | 22 | - | - | - | - |
| 17. | Spain | 18 | - | - | - | - |
| 18. | Belgium | 15 | - | - | - | - |
| 19. | Argentina | 13 | - | - | - | - |
| 20. | Netherlands | 12 | - | - | - | - |
- SSHコネクションの77%がアイルランド、ロシアから行われていました。
- 普段はイギリスからのSSHコネクションが2,000件ほどありますが、今日は22件でした。一方、Telnetコネクションが2,000件を超えました。
国別のTelnetコネクション件数
国別のTelnetコネクション件数(上位20位)は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | United Kingdom | 2,173 | - | - | - | - |
| 2. | Netherlands | 527 | - | - | - | - |
| 3. | United States | 298 | - | - | - | - |
| 4. | Latvia | 258 | - | - | - | - |
| 5. | Romania | 72 | - | - | - | - |
| 6. | Taiwan | 27 | - | - | - | - |
| 7. | China | 26 | - | - | - | - |
| 8. | India | 24 | - | - | - | - |
| 9. | South Korea | 18 | - | - | - | - |
| 10. | Brazil | 18 | - | - | - | - |
| 11. | Russia | 15 | - | - | - | - |
| 12. | Germany | 8 | - | - | - | - |
| 13. | Sweden | 6 | - | - | - | - |
| 14. | Hashemite Kingdom of Jordan | 4 | - | - | - | - |
| 15. | Argentina | 3 | - | - | - | - |
| 16. | Colombia | 3 | - | - | - | - |
| 17. | Egypt | 3 | - | - | - | - |
| 18. | Vietnam | 3 | - | - | - | - |
| 19. | Ukraine | 2 | - | - | - | - |
| 20. | Italy | 2 | - | - | - | - |
- Telnetコネクションのうち約93%がイギリス、オランダ、アメリカ、ラトビアから行われていました。
- 普段はイギリスからのTelnetコネクションは一桁から10数件ほどですが、今日は2,000件を超えました。
ダウンロードされたファイル
全体及び国別のダウンロードされたファイルの件数の遷移等は以下の通りです。
- ダウンロードに成功した件数が2,776件、失敗した件数が2,942件で、失敗した件数が若干多かったです。
続いて、ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
| 順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
|---|---|---|---|---|---|
| 1. | Mirai | hxxp://167[.]99[.]82[.]172:80/wrgjwrgjwrg246356356356/hitox86 | d1536621b81c95311f8f2b826201993a | 15/59 | 1,260 |
| 2. | Mirai | hxxp://167[.]99[.]82[.]172:80/wrgjwrgjwrg246356356356/hx86 | ad8b05f31badde22c05fb52248812b59 | 15/57 | 681 |
| 3. | Mirai | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 24/58 | 234 |
| 4. | Mirai | hxxp://185[.]244[.]25[.]194:80/nicetryspecial/beatmymalware[.]x86 | e310bb166f1ceccef9886842f5d14a8a | 26/59 | 176 |
| 5. | Mirai(ダウンローダー) | hxxp://89[.]46[.]223[.]247/8UsA[.]sh | 3dae78adf9f4a8520afb9ff9d701d3ab | 28/58 | 99 |
| 6. | Mirai | hxxp://185[.]244[.]25[.]199:80/brother/x86[.]bot | 813f5e96de411b3bef09e1e6c563decf | 23/59 | 69 |
| 7. | Mirai | hxxp://167[.]99[.]82[.]172:80/wrgjwrgjwrg246356356356/hx86 | 68847e48bee6f42c7b8a769ac588c667 | 13/58 | 52 |
| 8. | Mirai | hxxp://199[.]38[.]245[.]235:80/bins/yakuza[.]x86 | 49fa76b276a428300b802bf138abd0b4 | 15/58 | 28 |
| 9. | Mirai | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 25/58 | 24 |
| 10. | Mirai | hxxp://167[.]99[.]82[.]172:80/wrgjwrgjwrg246356356356/hx86 | 58d6c5908b33852aa7b5a09e0cbf05eb | 15/58 | 23 |
| 11. | Mirai(ダウンローダー) | hxxp://185[.]101[.]105[.]167/bins[.]sh | 48261db645ecc7451b530112bcafa086 | 24/57 | 17 |
| 12. | Mirai | hxxp://209[.]141[.]39[.]101:80/bins/sora[.]x86 | 30c40bbb06ad60b2b2ec105716f0c528 | 22/59 | 13 |
| 13. | Mirai | hxxp://185[.]244[.]25[.]199:80/brother/x86[.]bot | 5326c35c1699a075e5ee65c40f4b9155 | 15/59 | 13 |
| 14. | Mirai | hxxp://185[.]101[.]105[.]163:80/bins/Solstice[.]x86 | 3524c3e746d7e2766189291cc4208275 | 29/58 | 12 |
| 15. | Mirai | hxxp://194[.]147[.]35[.]54:80/ankit/os[.]x86 | 0c0ae7a89ce4b760c2b92dc0df613b8d | 29/58 | 12 |
| 16. | Mirai | hxxp://35[.]235[.]102[.]123:80/AB4g5/Josho[.]x86 | 8e4a0a4408c3351e132e56ca32e7c4d5 | 29/59 | 11 |
| 17. | Mirai(ダウンローダー) | hxxp://87[.]236[.]212[.]240/bins[.]sh | 11e925ca630c8615aea278a14d242a3f | 24/57 | 11 |
| 18. | Mirai | hxxp://185[.]244[.]25[.]199:80/brother/x86[.]bot | aa2bfc89b62731db8a3e4620d1b2d0e2 | 15/58 | 11 |
| 19. | Mirai | hxxp://199[.]38[.]245[.]221:80/AB4g5/Cult[.]x86 | afa00ac309c83d919f686bcaa7731898 | 23/58 | 8 |
| 20. | Mirai | hxxp://185[.]244[.]25[.]241:80/bins/cock[.]x86 | a34b4a6ebc8ef38fab2282ffdf05ca45 | 17/58 | 7 |
| 21. | Mirai | hxxp://185[.]101[.]105[.]163:80/bins/Solstice[.]x86 | 1b21b22a294f8fe605d9a52fde0dd855 | 27/59 | 6 |
| 22. | Mirai | hxxp://217[.]61[.]105[.]126:80/miori[.]x86 | b849324e4a4ee9d2d281624d5f0cdd5a | 12/58 | 4 |
| 23. | Mirai(ダウンローダー) | hxxp://198[.]27[.]78[.]198/bins[.]sh | 8540ba6d0397ffaf8b33b771135caf2e | 27/57 | 2 |
| 24. | Mirai or Gafgyt | hxxp://217[.]61[.]105[.]126:80/miori[.]x86 | 29376d00622f2b6db20e409a9de80422 | 14/58 | 1 |
| 25. | Mirai | hxxp://35[.]190[.]145[.]37:80/AB4g5/Josho[.]x86 | 3998b34d4a245d36878b9b058352fae5 | 19/58 | 1 |
| 26. | Mirai | hxxp://45[.]32[.]90[.]149:80/AB4g5/Josho[.]x86 | 458eaf48f3ffb73301e06b2724e661ff | 20/58 | 1 |
ラズパイ狙いのIRCボット
先月にも何度か観測したRaspberry Piの初期パスワードを狙ったと思われる攻撃を6件観測しました。
SSHで、pi/raspberryやpi/raspberryraspberry993311の組み合わせでログインした後、SCPコマンドでIRCボットをハニーポットに転送し、一旦ログアウトし、その直後に再びログインし、IRCボットを実行していました。
なお、SSHコネクション時のSSHのバージョンはSSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u3でした。
- MD5: 742f247c9ff393f8daf2e1609f0d9506
- VTの検出率: 28/58
国別のダウンロードされたファイル
国別のダウンロードされたファイルは以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | United Kingdom | 2,016 | - | - | - | - |
| 2. | Netherlands | 276 | - | - | - | - |
| 3. | Latvia | 234 | - | - | - | - |
| 4. | Romania | 115 | - | - | - | - |
| 5. | United States | 95 | - | - | - | - |
| 6. | India | 23 | - | - | - | - |
| 7. | Russia | 12 | - | - | - | - |
| 8. | Germany | 5 | - | - | - | - |
イギリス
イギリスからのアクセスによるセッション中にダウンロードされたファイルは以下の通りです。
| 順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
|---|---|---|---|---|---|
| 1. | Mirai | hxxp://167[.]99[.]82[.]172:80/wrgjwrgjwrg246356356356/hitox86 | d1536621b81c95311f8f2b826201993a | 15/59 | 1,260 |
| 2. | Mirai | hxxp://167[.]99[.]82[.]172:80/wrgjwrgjwrg246356356356/hx86 | ad8b05f31badde22c05fb52248812b59 | 15/57 | 681 |
| 3. | Mirai | hxxp://167[.]99[.]82[.]172:80/wrgjwrgjwrg246356356356/hx86 | 68847e48bee6f42c7b8a769ac588c667 | 13/58 | 52 |
| 4. | Mirai | hxxp://167[.]99[.]82[.]172:80/wrgjwrgjwrg246356356356/hx86 | 58d6c5908b33852aa7b5a09e0cbf05eb | 15/58 | 23 |
- 上記のファイルは全てイギリスからのアクセスによるセッション中にダウンロードされていました。
オランダ
オランダからのアクセスによるセッション中にダウンロードされたファイルは以下の通りです。
| 順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
|---|---|---|---|---|---|
| 1. | Mirai | hxxp://185[.]244[.]25[.]194:80/nicetryspecial/beatmymalware[.]x86 | e310bb166f1ceccef9886842f5d14a8a | 26/59 | 176 |
| 2. | Mirai | hxxp://185[.]244[.]25[.]199:80/brother/x86[.]bot | 813f5e96de411b3bef09e1e6c563decf | 23/59 | 69 |
| 3. | Mirai | hxxp://185[.]244[.]25[.]199:80/brother/x86[.]bot | 5326c35c1699a075e5ee65c40f4b9155 | 15/59 | 13 |
| 4. | Mirai | hxxp://185[.]244[.]25[.]199:80/brother/x86[.]bot | aa2bfc89b62731db8a3e4620d1b2d0e2 | 15/58 | 11 |
| 5. | Mirai | hxxp://185[.]244[.]25[.]241:80/bins/cock[.]x86 | a34b4a6ebc8ef38fab2282ffdf05ca45 | 17/58 | 7 |
- イギリスと同じく、上記のファイルは全てオランダからのアクセスによるセッション中にダウンロードされていました。
ラトビア
ラトビアからのアクセスによるセッション中にダウンロードされたファイルは以下の通りです。
| 順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
|---|---|---|---|---|---|
| 1. | Mirai | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 24/58 | 234 |
- イギリス、オランダと同じく、上記のファイルは全てラトビアからのアクセスによるセッション中にダウンロードされていました。
ルーマニア
ルーマニアからのアクセスによるセッション中にダウンロードされたファイルは以下の通りです。
| 順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
|---|---|---|---|---|---|
| 1. | Mirai(ダウンローダー) | hxxp://89[.]46[.]223[.]247/8UsA[.]sh | 3dae78adf9f4a8520afb9ff9d701d3ab | 28/58 | 97 |
| 2. | Mirai | hxxp://185[.]101[.]105[.]163:80/bins/Solstice[.]x86 | 3524c3e746d7e2766189291cc4208275 | 29/58 | 12 |
| 3. | Mirai | hxxp://185[.]101[.]105[.]163:80/bins/Solstice[.]x86 | 1b21b22a294f8fe605d9a52fde0dd855 | 27/59 | 6 |
- 2~3位のファイルは全てルーマニアからのアクセスによるセッション中にダウンロードされていました。
- Miraiのバイナリファイルではなく、シェルスクリプトで記述されたダウンローダーのダウンロード件数が多かったです。
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/02/06 (水) 00:00~23:59 UTC(運用34日目)に取得したログの簡易分析です。
特徴
- 中国からWebShellやphpMyAdminの探査を中心としたアクセスを観測しました。
- 2日連続でZGrabによるスキャンを観測しました。
概況
- 集計期間 : 2019/02/06 (水) 00:00~23:59 UTC
- 総アクセス件数 : 223 件(前日比 +201 件)
- WebShellの探査 : 96 件
- phpMyAdminの探査 : 85 件
- トップページへのアクセス : 27 件
- Tomcatの管理ページに対するログイン試行 : 9 件
- Network Weathermapの探査 : 2 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 1 件
- WebDAVの探査 : 1 件
- WordPressのコンフィグファイルの探査 : 1 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 1 件
- ユニークIPアドレス件数 : 27 件 (前日比 +5 件)
- アクセス元の国数 : 13 カ国 (前日比 +1 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | China | 196 | - | 0 | +196 | - |
| 2. | Brazil | 10 | 1. | 4 | +6 | - |
| 3. | India | 3 | 2. | 3 | +-0 | - |
| 4. | United States | 2 | 4. | 3 | -1 | - |
| 5. | Turkey | 2 | - | 0 | +2 | - |
| 6. | Georgia | 2 | - | 0 | +2 | - |
| 7. | Slovakia | 2 | - | 0 | +2 | - |
| 8. | Ukraine | 1 | 3. | 3 | -2 | - |
| 9. | Netherlands | 1 | - | 0 | +1 | - |
| 10. | Portugal | 1 | - | 0 | +1 | - |
| 11. | Indonesia | 1 | - | 0 | +1 | - |
| 12. | Russia | 1 | 11. | 1 | +-0 | - |
| 13. | Iraq | 1 | - | 0 | +1 | - |
アクセス先
- 中国からWebShellやphpMyAdminの探査を中心としたアクセスを観測しました。
- 探査を行ったIPアドレスはShenzhen Tencent Computer Systems Company Limited(AS45090)に登録されていました。
- 今回の探査で使われたUser-Agentは以下の通りです。
- 2日連続でZGrabによるスキャンを観測しました。
- 件数は1件でした。
- User-Agentは
Mozilla/5.0 zgrab/0.xでした。
アクセス先の一覧は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | トップページへのアクセス | GET / HTTP/1.1 | 27 | 1. | 18 | +9 |
| 2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 9 | - | 0 | +9 |
| 3. | WebShellの探査 | POST /qq.php HTTP/1.1 | 3 | - | 0 | +3 |
| 4. | WebShellの探査 | GET /shell.php HTTP/1.1 | 2 | - | 0 | +2 |
| 5. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 2 | - | 0 | +2 |
| 6. | WebShellの探査 | POST /xx.php HTTP/1.1 | 2 | - | 0 | +2 |
| 7. | WebShellの探査 | POST /conflg.php HTTP/1.1 | 2 | - | 0 | +2 |
| 8. | WebShellの探査 | POST /q.php HTTP/1.1 | 2 | - | 0 | +2 |
| 9. | phpMyAdminの探査 | GET /phpmyadmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 10. | phpMyAdminの探査 | GET /phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 11. | phpMyAdminの探査 | GET /pma/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 12. | phpMyAdminの探査 | GET /PMA/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 13. | phpMyAdminの探査 | GET /web/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 14. | phpMyAdminの探査 | GET /admin/pma/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 15. | phpMyAdminの探査 | GET /admin/PMA/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 16. | phpMyAdminの探査 | GET /admin/phpmyadmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 17. | phpMyAdminの探査 | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 18. | phpMyAdminの探査 | GET /tools/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 19. | phpMyAdminの探査 | GET /claroline/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 20. | phpMyAdminの探査 | GET /typo3/phpmyadmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 21. | phpMyAdminの探査 | GET /phpmyadmin/phpmyadmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 22. | phpMyAdminの探査 | GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 23. | phpMyAdminの探査 | GET /MyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
| 24. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 1 | - | 0 | +1 |
| 25. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 1 | - | 0 | +1 |
| 26. | WebShellの探査 | GET /help.php HTTP/1.1 | 1 | - | 0 | +1 |
| 27. | WebShellの探査 | GET /java.php HTTP/1.1 | 1 | - | 0 | +1 |
| 28. | WebShellの探査 | GET /_query.php HTTP/1.1 | 1 | - | 0 | +1 |
| 29. | WebShellの探査 | GET /test.php HTTP/1.1 | 1 | - | 0 | +1 |
| 30. | WebShellの探査 | GET /db_cts.php HTTP/1.1 | 1 | - | 0 | +1 |
| 31. | phpMyAdminの探査 | GET /db_pma.php HTTP/1.1 | 1 | - | 0 | +1 |
| 32. | WebShellの探査 | GET /logon.php HTTP/1.1 | 1 | - | 0 | +1 |
| 33. | WebShellの探査 | GET /help-e.php HTTP/1.1 | 1 | - | 0 | +1 |
| 34. | WebShellの探査 | GET /license.php HTTP/1.1 | 1 | - | 0 | +1 |
| 35. | WebShellの探査 | GET /hell.php HTTP/1.1 | 1 | - | 0 | +1 |
| 36. | WebShellの探査 | GET /pmd_online.php HTTP/1.1 | 1 | - | 0 | +1 |
| 37. | WebShellの探査 | GET /x.php HTTP/1.1 | 1 | - | 0 | +1 |
| 38. | WebShellの探査 | GET /desktop.ini.php HTTP/1.1 | 1 | - | 0 | +1 |
| 39. | WebShellの探査 | GET /z.php HTTP/1.1 | 1 | - | 0 | +1 |
| 40. | WebShellの探査 | GET /lala.php HTTP/1.1 | 1 | - | 0 | +1 |
| 41. | WebShellの探査 | GET /lala-dpr.php HTTP/1.1 | 1 | - | 0 | +1 |
| 42. | WebShellの探査 | GET /wpc.php HTTP/1.1 | 1 | - | 0 | +1 |
| 43. | WebShellの探査 | GET /wpo.php HTTP/1.1 | 1 | - | 0 | +1 |
| 44. | WebShellの探査 | GET /text.php HTTP/1.1 | 1 | - | 0 | +1 |
| 45. | WordPressのコンフィグファイルの探査 | GET /wp-config.php HTTP/1.1 | 1 | - | 0 | +1 |
| 46. | WebShellの探査 | GET /muhstik2.php HTTP/1.1 | 1 | - | 0 | +1 |
| 47. | WebShellの探査 | GET /muhstiks.php HTTP/1.1 | 1 | - | 0 | +1 |
| 48. | WebShellの探査 | GET /muhstik-dpr.php HTTP/1.1 | 1 | - | 0 | +1 |
| 49. | WebShellの探査 | GET /lol.php HTTP/1.1 | 1 | - | 0 | +1 |
| 50. | WebShellの探査 | GET /uploader.php HTTP/1.1 | 1 | - | 0 | +1 |
| 51. | WebShellの探査 | GET /cmdd.php HTTP/1.1 | 1 | - | 0 | +1 |
| 52. | WebShellの探査 | GET /knal.php HTTP/1.1 | 1 | - | 0 | +1 |
| 53. | WebShellの探査 | GET /appserv.php HTTP/1.1 | 1 | - | 0 | +1 |
| 54. | phpMyAdminの探査 | GET /scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
| 55. | phpMyAdminの探査 | GET /phpmyadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
| 56. | phpMyAdminの探査 | GET /phpMyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
| 57. | phpMyAdminの探査 | GET /phpMyAdmin/scripts/db___.init.php HTTP/1.1 | 1 | - | 0 | +1 |
| 58. | Network Weathermapの探査 | GET /plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
| 59. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
| 60. | WebShellの探査 | POST /wuwu11.php HTTP/1.1 | 1 | - | 0 | +1 |
| 61. | WebShellの探査 | POST /xw.php HTTP/1.1 | 1 | - | 0 | +1 |
| 62. | WebShellの探査 | POST /xw1.php HTTP/1.1 | 1 | - | 0 | +1 |
| 63. | WebShellの探査 | POST /9678.php HTTP/1.1 | 1 | - | 0 | +1 |
| 64. | WebShellの探査 | POST /wc.php HTTP/1.1 | 1 | - | 0 | +1 |
| 65. | WebShellの探査 | POST /s.php HTTP/1.1 | 1 | - | 0 | +1 |
| 66. | WebShellの探査 | POST /w.php HTTP/1.1 | 1 | - | 0 | +1 |
| 67. | WebShellの探査 | POST /sheep.php HTTP/1.1 | 1 | - | 0 | +1 |
| 68. | WebShellの探査 | POST /db.init.php HTTP/1.1 | 1 | - | 0 | +1 |
| 69. | WebShellの探査 | POST /db_session.init.php HTTP/1.1 | 1 | - | 0 | +1 |
| 70. | WebShellの探査 | POST /db__.init.php HTTP/1.1 | 1 | - | 0 | +1 |
| 71. | WebShellの探査 | POST /wp-admins.php HTTP/1.1 | 1 | - | 0 | +1 |
| 72. | WebShellの探査 | POST /db_dataml.php HTTP/1.1 | 1 | - | 0 | +1 |
| 73. | WebShellの探査 | POST /db_desql.php HTTP/1.1 | 1 | - | 0 | +1 |
| 74. | WebShellの探査 | POST /mx.php HTTP/1.1 | 1 | - | 0 | +1 |
| 75. | WebShellの探査 | POST /wshell.php HTTP/1.1 | 1 | - | 0 | +1 |
| 76. | WebShellの探査 | POST /xshell.php HTTP/1.1 | 1 | - | 0 | +1 |
| 77. | WebShellの探査 | POST /lindex.php HTTP/1.1 | 1 | - | 0 | +1 |
| 78. | WebShellの探査 | POST /phpstudy.php HTTP/1.1 | 1 | - | 0 | +1 |
| 79. | WebShellの探査 | POST /phpStudy.php HTTP/1.1 | 1 | - | 0 | +1 |
| 80. | WebShellの探査 | POST /weixiao.php HTTP/1.1 | 1 | - | 0 | +1 |
| 81. | WebShellの探査 | POST /feixiang.php HTTP/1.1 | 1 | - | 0 | +1 |
| 82. | WebShellの探査 | POST /ak47.php HTTP/1.1 | 1 | - | 0 | +1 |
| 83. | WebShellの探査 | POST /ak48.php HTTP/1.1 | 1 | - | 0 | +1 |
| 84. | WebShellの探査 | POST /xiao.php HTTP/1.1 | 1 | - | 0 | +1 |
| 85. | WebShellの探査 | POST /defect.php HTTP/1.1 | 1 | - | 0 | +1 |
| 86. | WebShellの探査 | POST /webslee.php HTTP/1.1 | 1 | - | 0 | +1 |
| 87. | WebShellの探査 | POST /pe.php HTTP/1.1 | 1 | - | 0 | +1 |
| 88. | WebShellの探査 | POST /hm.php HTTP/1.1 | 1 | - | 0 | +1 |
| 89. | WebShellの探査 | POST /cainiao.php HTTP/1.1 | 1 | - | 0 | +1 |
| 90. | WebShellの探査 | POST /zuoshou.php HTTP/1.1 | 1 | - | 0 | +1 |
| 91. | WebShellの探査 | POST /zuo.php HTTP/1.1 | 1 | - | 0 | +1 |
| 92. | WebShellの探査 | POST /aotu.php HTTP/1.1 | 1 | - | 0 | +1 |
| 93. | WebShellの探査 | POST /aotu7.php HTTP/1.1 | 1 | - | 0 | +1 |
| 94. | WebShellの探査 | POST /bak.php HTTP/1.1 | 1 | - | 0 | +1 |
| 95. | WebShellの探査 | POST /l6.php HTTP/1.1 | 1 | - | 0 | +1 |
| 96. | WebShellの探査 | POST /l7.php HTTP/1.1 | 1 | - | 0 | +1 |
| 97. | WebShellの探査 | POST /l8.php HTTP/1.1 | 1 | - | 0 | +1 |
| 98. | WebShellの探査 | POST /mz.php HTTP/1.1 | 1 | - | 0 | +1 |
| 99. | WebShellの探査 | POST /yumo.php HTTP/1.1 | 1 | - | 0 | +1 |
| 100. | WebShellの探査 | POST /min.php HTTP/1.1 | 1 | - | 0 | +1 |
| 101. | WebShellの探査 | POST /wanan.php HTTP/1.1 | 1 | - | 0 | +1 |
| 102. | WebShellの探査 | POST /ssaa.php HTTP/1.1 | 1 | - | 0 | +1 |
| 103. | WebShellの探査 | POST /aw.php HTTP/1.1 | 1 | - | 0 | +1 |
| 104. | WebShellの探査 | POST /12.php HTTP/1.1 | 1 | - | 0 | +1 |
| 105. | WebShellの探査 | POST /hh.php HTTP/1.1 | 1 | - | 0 | +1 |
| 106. | WebShellの探査 | POST /ak.php HTTP/1.1 | 1 | - | 0 | +1 |
| 107. | WebShellの探査 | POST /ip.php HTTP/1.1 | 1 | - | 0 | +1 |
| 108. | WebShellの探査 | POST /qwe.php HTTP/1.1 | 1 | - | 0 | +1 |
| 109. | WebShellの探査 | POST /1213.php HTTP/1.1 | 1 | - | 0 | +1 |
| 110. | WebShellの探査 | POST /aaaa.php HTTP/1.1 | 1 | - | 0 | +1 |
| 111. | WebShellの探査 | POST /h1.php HTTP/1.1 | 1 | - | 0 | +1 |
| 112. | WebShellの探査 | POST /test.php HTTP/1.1 | 1 | - | 0 | +1 |
| 113. | WebShellの探査 | POST /3.php HTTP/1.1 | 1 | - | 0 | +1 |
| 114. | WebShellの探査 | POST /phpinfi.php HTTP/1.1 | 1 | - | 0 | +1 |
| 115. | WebShellの探査 | POST /9510.php HTTP/1.1 | 1 | - | 0 | +1 |
| 116. | WebShellの探査 | POST /python.php HTTP/1.1 | 1 | - | 0 | +1 |
| 117. | phpMyAdminの探査 | GET /index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 118. | phpMyAdminの探査 | GET /pmd/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 119. | phpMyAdminの探査 | GET /PMA2/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 120. | phpMyAdminの探査 | GET /pmamy/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 121. | phpMyAdminの探査 | GET /pmamy2/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 122. | phpMyAdminの探査 | GET /mysql/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 123. | phpMyAdminの探査 | GET /admin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 124. | phpMyAdminの探査 | GET /db/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 125. | phpMyAdminの探査 | GET /dbadmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 126. | phpMyAdminの探査 | GET /admin/mysql/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 127. | phpMyAdminの探査 | GET /admin/mysql2/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 128. | phpMyAdminの探査 | GET /admin/phpmyadmin2/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 129. | phpMyAdminの探査 | GET /mysqladmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 130. | phpMyAdminの探査 | GET /mysql-admin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 131. | phpMyAdminの探査 | GET /mysql_admin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 132. | phpMyAdminの探査 | GET /phpAdmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 133. | phpMyAdminの探査 | GET /phpmyadmin0/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 134. | phpMyAdminの探査 | GET /phpmyadmin1/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 135. | phpMyAdminの探査 | GET /phpMyAdmin-4.4.0/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 136. | phpMyAdminの探査 | GET /myadmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 137. | phpMyAdminの探査 | GET /myadmin2/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 138. | phpMyAdminの探査 | GET /xampp/phpmyadmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 139. | phpMyAdminの探査 | GET /phpMyadmin_bak/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 140. | phpMyAdminの探査 | GET /www/phpMyAdmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 141. | phpMyAdminの探査 | GET /phpmyadmin-old/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 142. | phpMyAdminの探査 | GET /phpMyAdminold/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 143. | phpMyAdminの探査 | GET /phpMyAdmin.old/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 144. | phpMyAdminの探査 | GET /pma-old/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 145. | phpMyAdminの探査 | GET /phpma/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 146. | phpMyAdminの探査 | GET /phpMyAbmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 147. | phpMyAdminの探査 | GET /phpMyAdmin+++---/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 148. | phpMyAdminの探査 | GET /v/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 149. | phpMyAdminの探査 | GET /phpmyadm1n/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 150. | phpMyAdminの探査 | GET /phpMyAdm1n/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 151. | phpMyAdminの探査 | GET /shaAdmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 152. | phpMyAdminの探査 | GET /phpMyadmi/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 153. | phpMyAdminの探査 | GET /phpMyAdmion/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 154. | phpMyAdminの探査 | GET /s/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 155. | phpMyAdminの探査 | GET /phpMyAdmin1/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 156. | phpMyAdminの探査 | GET /phpMyAdmin123/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 157. | phpMyAdminの探査 | GET /pwd/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 158. | phpMyAdminの探査 | GET /phpMyAdmina/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 159. | phpMyAdminの探査 | GET /phpMydmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 160. | phpMyAdminの探査 | GET /program/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 161. | phpMyAdminの探査 | GET /shopdb/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 162. | phpMyAdminの探査 | GET /phppma/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 163. | phpMyAdminの探査 | GET /phpmy/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 164. | phpMyAdminの探査 | GET /mysql/admin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 165. | phpMyAdminの探査 | GET /mysql/dbadmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 166. | phpMyAdminの探査 | GET /mysql/sqlmanager/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 167. | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。
