cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/02/13)

ハニーポット観察日記(2019/02/13)

ハニーポット観察日記

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/02/13 (水) 00:00~23:59 UTC(運用41日目)に取得したログの簡易分析です。

特徴

  • 2019/02/11以来、2日ぶりにCisco製品のコンフィグファイルなどの探査を観測しました。
  • 4日連続でZGrabによるスキャンを観測しました。

概況

  • 集計期間 : 2019/02/13 (水) 00:00~23:59 UTC
  • 総アクセス件数 : 39 件(前日比 +17 件)
    • トップページへのアクセス : 21 件
    • Cisco製品のコンフィグファイルなどの探査 : 17 件
      • Cisco SPA122のコンフィグファイルの探査 : 9 件
      • Cisco SPA112のプロファイルルールの探査 : 5 件
      • Cisco SPA112のコンフィグファイルの探査 : 2 件
      • Cisco SPA122のプロファイルルールの探査 : 1 件
    • phpMyAdminの探査 : 1 件
  • ユニークIPアドレス件数 : 23 件 (前日比 +10 件)
  • アクセス元の国数 : 14 カ国 (前日比 +4 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. Estonia 17 - 0 +17 -
2. Brazil 5 5. 1 +4 -
3. United States 4 1. 11 -7 -
4. India 2 - 0 +2 -
5. Ukraine 2 - 0 +2 -
6. Bangladesh 1 - 0 +1 -
7. Burkina Faso 1 - 0 +1 -
8. Iraq 1 - 0 +1 -
9. Hong Kong 1 - 0 +1 -
10. Canada 1 - 0 +1 -
11. Indonesia 1 2. 2 -1 -
12. Cambodia 1 - 0 +1 -
13. Italy 1 - 0 +1 -
14. United Kingdom 1 - 0 +1 -

User-Agent

HTTPリクエストに含まれていたUser-Agentは以下の通りです。

順位 アクセス先 件数 前日の順位 前日の件数 件数差 備考
1. Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0 17 - 0 +17 Cisco製品のコンフィグファイルなどの探査でのみ使用
2. Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 7 3. 4 +3 -
3. Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 4 7. 1 +3 -
4. Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 4 4. 2 +2 -
5. Mozilla/5.0 zgrab/0.x 3 6. 1 +2 ZGrabによるスキャン
6. Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36 1 - 0 +1 -
7. 未設定 1 2. 5 -4 -
8. Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7 1 - 0 +1 -
9. Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36 1 - 0 +1 phpMyAdminの探査でのみ使用

アクセス先

  • 2019/02/11以来、2日ぶりにCisco製品のコンフィグファイルなどの探査を観測しました。
    • 送信元IPアドレスエストニアのESTOXY OU(AS199264)に登録されていました。
    • 前回と今回の違いは、送信元IPアドレスが違う点と、4種類の探査の件数が違う点です。
      • 前回は4種類の探査がそれぞれ9件ずつありましたが、今回はCisco SPA112のコンフィグファイルの探査が2件、Cisco SPA112のプロファイルルールの探査が5件、Cisco SPA122のコンフィグファイルの探査が9件、Cisco SPA122のプロファイルルールの探査が1件でした。
  • 4日連続でZGrabによるスキャンを観測しました。
    • 件数は3件でした。
    • User-Agentは全てMozilla/5.0 zgrab/0.xでした。

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 21 1. 13 +8
2. Cisco SPA112のコンフィグファイルの探査 GET /prov/spa112.cfg HTTP/1.1 1 - 0 +1
3. Cisco SPA112のコンフィグファイルの探査 GET /provision/spa112.cfg HTTP/1.1 1 - 0 +1
4. Cisco SPA122のコンフィグファイルの探査 GET /spa122.cfg HTTP/1.1 1 - 0 +1
5. Cisco SPA122のコンフィグファイルの探査 GET /prov/spa122.cfg HTTP/1.1 1 - 0 +1
6. Cisco SPA122のコンフィグファイルの探査 GET /provision/spa122.cfg HTTP/1.1 1 - 0 +1
7. Cisco SPA122のコンフィグファイルの探査 GET /provisionining/spa122.cfg HTTP/1.1 1 - 0 +1
8. Cisco SPA122のコンフィグファイルの探査 GET /spa/spa122.cfg HTTP/1.1 1 - 0 +1
9. Cisco SPA122のコンフィグファイルの探査 GET /linksys/spa122.cfg HTTP/1.1 1 - 0 +1
10. Cisco SPA122のコンフィグファイルの探査 GET /cisco/spa122.cfg HTTP/1.1 1 - 0 +1
11. Cisco SPA122のコンフィグファイルの探査 GET /cisco/spa/spa122.cfg HTTP/1.1 1 - 0 +1
12. Cisco SPA122のコンフィグファイルの探査 GET /cfg/spa122.cfg HTTP/1.1 1 - 0 +1
13. Cisco SPA112のプロファイルルールの探査 GET /spa112.xml HTTP/1.1 1 - 0 +1
14. Cisco SPA112のプロファイルルールの探査 GET /prov/spa112.xml HTTP/1.1 1 - 0 +1
15. Cisco SPA112のプロファイルルールの探査 GET /provision/spa112.xml HTTP/1.1 1 - 0 +1
16. Cisco SPA112のプロファイルルールの探査 GET /cisco/spa/spa112.xml HTTP/1.1 1 - 0 +1
17. Cisco SPA112のプロファイルルールの探査 GET /cfg/spa112.xml HTTP/1.1 1 - 0 +1
18. Cisco SPA122のプロファイルルールの探査 GET /spa122.xml HTTP/1.1 1 - 0 +1
19. phpMyAdminの探査 GET /mysql/admin/index.php?lang=en HTTP/1.1 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。