cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/02/11)

ハニーポット観察日記(2019/02/11)

ハニーポット観察日記

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/02/11 (月) 00:00~23:59 UTC(運用39日目)に取得したログの簡易分析です。

特徴

  • 2日連続でPolycom製の製品のコンフィグファイルの探査を観測しました。
  • Cisco SPA112やCisco 122のコンフィグファイルやプロファイルルールの探査と思われるアクセスを初めて観測しました。
  • 2日連続でZGrabによるスキャンを観測しました。

概況

  • 集計期間 : 2019/02/11 (月) 00:00~23:59 UTC
  • 総アクセス件数 : 96 件(前日比 -169 件)
    • Polycom製の製品のコンフィグファイルの探査 : 38 件
    • トップページへのアクセス : 22 件
    • Cisco製の製品のコンフィグファイルなどの探査(初観測) : 36 件
      • Cisco SPA112のコンフィグファイルの探査(初観測) : 9 件
      • Cisco SPA122のコンフィグファイルの探査(初観測) : 9 件
      • Cisco SPA112のプロファイルルールの探査(初観測) : 9 件
      • Cisco SPA122のプロファイルルールの探査(初観測) : 9 件
  • ユニークIPアドレス件数 : 23 件 (前日比 -3 件)
  • アクセス元の国数 : 15 カ国 (前日比 +2 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 76 2. 57 +19 -
2. Brazil 3 4. 6 -3 -
3. Ukraine 2 9. 1 +1 -
4. Indonesia 2 7. 2 +-0 -
5. Russia 2 6. 2 +-0 -
6. Japan 2 - 0 +2 -
7. India 1 - 0 +1 -
8. Argentina 1 - 0 +1 -
9. Germany 1 - 0 +1 -
10. Poland 1 12. 1 +-0 -
11. China 1 1. 177 -176 -
12. Denmark 1 - 0 +1 -
13. Netherlands 1 - 0 +1 -
14. Czechia 1 - 0 +1 -
15. South Africa 1 - 0 +1 -

User-Agent

HTTPリクエストに含まれていたUser-Agentは以下の通りです。

順位 アクセス先 件数 前日の順位 前日の件数 件数差 備考
1. Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0 74 2. 55 +19 Polycom製の製品のコンフィグファイルの探査とCisco製の製品のコンフィグファイルなどの探査でのみ使用
2. Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7 5 11. 3 +2 -
3. Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 4 9. 4 +-0 -
4. Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 3 7. 6 -3 -
5. Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 3 8. 5 -2 -
6. 未設定 2 10. 3 -1 -
7. Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36 1 - 0 +1 -
8. Mozilla/5.0(WindowsNT6.1;rv:31.0)Gecko/20100101Firefox/31.0 1 - 0 +1 -
9. Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 1 15. 1 +-0 -
10. HTTP Banner Detection (hxxps://security.ipip.net) 1 - 0 +1 -
11. Mozilla/5.0 zgrab/0.x 1 14. 1 +-0 ZGrabによるスキャン

アクセス先

  • 今日は主に以下の2種類の探査を観測しました。
    • Polycom製の製品のコンフィグファイルの探査
      • 2日連続で観測しました。
      • 昨日と同じIPアドレスからの探査でした。
      • IPアドレスは、アメリカのLimestone Networks, Inc.(AS46475)に登録されていました。
    • Cisco製の製品のコンフィグファイルなどの探査(初観測)
      • Polycom製の製品のコンフィグファイルの探査を行ったIPアドレスと同じIPアドレスからの探査でした。
      • Polycom製の製品のコンフィグファイルの探査が終了した直後に、この探査が行われていました。
  • 2日連続でZGrabによるスキャンを観測しました。
    • 件数は1件でした。
    • User-AgentはMozilla/5.0 zgrab/0.xでした。

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 20 1. 22 -2
2. Polycom製の製品のコンフィグファイルの探査 GET /polycom/000000000000.cfg HTTP/1.1 2 10. 2 +-0
3. トップページへのアクセス GET / HTTP/1.0 2 3. 3 -1
4. Polycom製の製品のコンフィグファイルの探査 GET /000000000000.cfg HTTP/1.1 1 4. 2 -1
5. Polycom製の製品のコンフィグファイルの探査 GET /p/000000000000.cfg HTTP/1.1 1 5. 2 -1
6. Polycom製の製品のコンフィグファイルの探査 GET /pv/000000000000.cfg HTTP/1.1 1 6. 2 -1
7. Polycom製の製品のコンフィグファイルの探査 GET /prov/000000000000.cfg HTTP/1.1 1 7. 2 -1
8. Polycom製の製品のコンフィグファイルの探査 GET /provision/000000000000.cfg HTTP/1.1 1 51. 1 +-0
9. Polycom製の製品のコンフィグファイルの探査 GET /provisioning/000000000000.cfg HTTP/1.1 1 52. 1 +-0
10. Polycom製の製品のコンフィグファイルの探査 GET /cfg/000000000000.cfg HTTP/1.1 1 53. 1 +-0
11. Polycom製の製品のコンフィグファイルの探査 GET /conf/000000000000.cfg HTTP/1.1 1 8. 2 -1
12. Polycom製の製品のコンフィグファイルの探査 GET /config/000000000000.cfg HTTP/1.1 1 9. 2 -1
13. Polycom製の製品のコンフィグファイルの探査 GET /configs/000000000000.cfg HTTP/1.1 1 44. 1 +-0
14. Polycom製の製品のコンフィグファイルの探査 GET /phone/000000000000.cfg HTTP/1.1 1 45. 1 +-0
15. Polycom製の製品のコンフィグファイルの探査 GET /phones/000000000000.cfg HTTP/1.1 1 46. 1 +-0
16. Polycom製の製品のコンフィグファイルの探査 GET /autoprov/000000000000.cfg HTTP/1.1 1 47. 1 +-0
17. Polycom製の製品のコンフィグファイルの探査 GET /autoprovision/000000000000.cfg HTTP/1.1 1 48. 1 +-0
18. Polycom製の製品のコンフィグファイルの探査 GET /autoprovisioning/000000000000.cfg HTTP/1.1 1 49. 1 +-0
19. Polycom製の製品のコンフィグファイルの探査 GET /autoprpv/000000000000.cfg HTTP/1.1 1 - 0 +1
20. Polycom製の製品のコンフィグファイルの探査 GET /autoprpvision/000000000000.cfg HTTP/1.1 1 - 0 +1
21. Polycom製の製品のコンフィグファイルの探査 GET /autoprpvisioning/000000000000.cfg HTTP/1.1 1 - 0 +1
22. Polycom製の製品のコンフィグファイルの探査 GET /p/polycom/000000000000.cfg HTTP/1.1 1 50. 1 +-0
23. Polycom製の製品のコンフィグファイルの探査 GET /pv/polycom/000000000000.cfg HTTP/1.1 1 11. 2 -1
24. Polycom製の製品のコンフィグファイルの探査 GET /prov/polycom/000000000000.cfg HTTP/1.1 1 54. 1 +-0
25. Polycom製の製品のコンフィグファイルの探査 GET /provision/polycom/000000000000.cfg HTTP/1.1 1 55. 1 +-0
26. Polycom製の製品のコンフィグファイルの探査 GET /provisioning/polycom/000000000000.cfg HTTP/1.1 1 56. 1 +-0
27. Polycom製の製品のコンフィグファイルの探査 GET /cfg/polycom/000000000000.cfg HTTP/1.1 1 12. 2 -1
28. Polycom製の製品のコンフィグファイルの探査 GET /conf/polycom/000000000000.cfg HTTP/1.1 1 13. 2 -1
29. Polycom製の製品のコンフィグファイルの探査 GET /config/polycom/000000000000.cfg HTTP/1.1 1 14. 2 -1
30. Polycom製の製品のコンフィグファイルの探査 GET /configs/polycom/000000000000.cfg HTTP/1.1 1 15. 2 -1
31. Polycom製の製品のコンフィグファイルの探査 GET /phone/polycom/000000000000.cfg HTTP/1.1 1 16. 2 -1
32. Polycom製の製品のコンフィグファイルの探査 GET /phones/polycom/000000000000.cfg HTTP/1.1 1 17. 2 -1
33. Polycom製の製品のコンフィグファイルの探査 GET /autoprov/polycom/000000000000.cfg HTTP/1.1 1 18. 2 -1
34. Polycom製の製品のコンフィグファイルの探査 GET /autoprovision/polycom/000000000000.cfg HTTP/1.1 1 19. 2 -1
35. Polycom製の製品のコンフィグファイルの探査 GET /autoprovisioning/polycom/000000000000.cfg HTTP/1.1 1 20. 2 -1
36. Polycom製の製品のコンフィグファイルの探査 GET /autoprpv/polycom/000000000000.cfg HTTP/1.1 1 21. 2 -1
37. Polycom製の製品のコンフィグファイルの探査 GET /autoprpvision/polycom/000000000000.cfg HTTP/1.1 1 22. 2 -1
38. Polycom製の製品のコンフィグファイルの探査 GET /autoprpvisioning/polycom/000000000000.cfg HTTP/1.1 1 23. 2 -1
39. Polycom製の製品のコンフィグファイルの探査 GET /polycom/polycom/000000000000.cfg HTTP/1.1 1 24. 2 -1
40. Cisco SPA112のコンフィグファイルの探査 GET /spa112.cfg HTTP/1.1 1 - 0 +1
41. Cisco SPA112のコンフィグファイルの探査 GET /prov/spa112.cfg HTTP/1.1 1 - 0 +1
42. Cisco SPA112のコンフィグファイルの探査 GET /provision/spa112.cfg HTTP/1.1 1 - 0 +1
43. Cisco SPA112のコンフィグファイルの探査 GET /provisionining/spa112.cfg HTTP/1.1 1 - 0 +1
44. Cisco SPA112のコンフィグファイルの探査 GET /spa/spa112.cfg HTTP/1.1 1 - 0 +1
45. Cisco SPA112のコンフィグファイルの探査 GET /linksys/spa112.cfg HTTP/1.1 1 - 0 +1
46. Cisco SPA112のコンフィグファイルの探査 GET /cisco/spa112.cfg HTTP/1.1 1 - 0 +1
47. Cisco SPA112のコンフィグファイルの探査 GET /cisco/spa/spa112.cfg HTTP/1.1 1 - 0 +1
48. Cisco SPA112のコンフィグファイルの探査 GET /cfg/spa112.cfg HTTP/1.1 1 - 0 +1
49. Cisco SPA122のコンフィグファイルの探査 GET /spa122.cfg HTTP/1.1 1 - 0 +1
50. Cisco SPA122のコンフィグファイルの探査 GET /prov/spa122.cfg HTTP/1.1 1 - 0 +1
51. Cisco SPA122のコンフィグファイルの探査 GET /provision/spa122.cfg HTTP/1.1 1 - 0 +1
52. Cisco SPA122のコンフィグファイルの探査 GET /provisionining/spa122.cfg HTTP/1.1 1 - 0 +1
53. Cisco SPA122のコンフィグファイルの探査 GET /spa/spa122.cfg HTTP/1.1 1 - 0 +1
54. Cisco SPA122のコンフィグファイルの探査 GET /linksys/spa122.cfg HTTP/1.1 1 - 0 +1
55. Cisco SPA122のコンフィグファイルの探査 GET /cisco/spa122.cfg HTTP/1.1 1 - 0 +1
56. Cisco SPA122のコンフィグファイルの探査 GET /cisco/spa/spa122.cfg HTTP/1.1 1 - 0 +1
57. Cisco SPA122のコンフィグファイルの探査 GET /cfg/spa122.cfg HTTP/1.1 1 - 0 +1
58. Cisco SPA112のプロファイルルールの探査 GET /spa112.xml HTTP/1.1 1 - 0 +1
59. Cisco SPA112のプロファイルルールの探査 GET /prov/spa112.xml HTTP/1.1 1 - 0 +1
60. Cisco SPA112のプロファイルルールの探査 GET /provision/spa112.xml HTTP/1.1 1 - 0 +1
61. Cisco SPA112のプロファイルルールの探査 GET /provisionining/spa112.xml HTTP/1.1 1 - 0 +1
62. Cisco SPA112のプロファイルルールの探査 GET /spa/spa112.xml HTTP/1.1 1 - 0 +1
63. Cisco SPA112のプロファイルルールの探査 GET /linksys/spa112.xml HTTP/1.1 1 - 0 +1
64. Cisco SPA112のプロファイルルールの探査 GET /cisco/spa112.xml HTTP/1.1 1 - 0 +1
65. Cisco SPA112のプロファイルルールの探査 GET /cisco/spa/spa112.xml HTTP/1.1 1 - 0 +1
66. Cisco SPA112のプロファイルルールの探査 GET /cfg/spa112.xml HTTP/1.1 1 - 0 +1
67. Cisco SPA122のプロファイルルールの探査 GET /spa122.xml HTTP/1.1 1 - 0 +1
68. Cisco SPA122のプロファイルルールの探査 GET /prov/spa122.xml HTTP/1.1 1 - 0 +1
69. Cisco SPA122のプロファイルルールの探査 GET /provision/spa122.xml HTTP/1.1 1 - 0 +1
70. Cisco SPA122のプロファイルルールの探査 GET /provisionining/spa122.xml HTTP/1.1 1 - 0 +1
71. Cisco SPA122のプロファイルルールの探査 GET /spa/spa122.xml HTTP/1.1 1 - 0 +1
72. Cisco SPA122のプロファイルルールの探査 GET /linksys/spa122.xml HTTP/1.1 1 - 0 +1
73. Cisco SPA122のプロファイルルールの探査 GET /cisco/spa122.xml HTTP/1.1 1 - 0 +1
74. Cisco SPA122のプロファイルルールの探査 GET /cisco/spa/spa122.xml HTTP/1.1 1 - 0 +1
75. Cisco SPA122のプロファイルルールの探査 GET /cfg/spa122.xml HTTP/1.1 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。