cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/02/15)

ハニーポット観察日記(2019/02/15)

ハニーポット観察日記

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/02/15 (金) 00:00~23:59 UTC(運用43日目)に取得したログの簡易分析です。

特徴

  • 2日連続でThinkPHPの探査と脆弱性を利用した攻撃を計3件観測しました。
  • 6日連続でZGrabによるスキャンを観測しました。

概況

  • 集計期間 : 2019/02/15 (金) 00:00~23:59 UTC
  • 総アクセス件数 : 29 件(前日比 -723 件)
    • トップページへのアクセス : 25 件
    • ThinkPHPの脆弱性を利用した攻撃(参照) : 2 件
    • ThinkPHPの探査 : 1 件
    • 不明 : 1 件
  • ユニークIPアドレス件数 : 26 件 (前日比 +3 件)
  • アクセス元の国数 : 17 カ国 (前日比 +5 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. Turkey 4 - 0 +4 -
2. United States 3 3. 6 -3 -
3. China 3 1. 545 -542 -
4. Ukraine 3 - 0 +3 -
5. Russia 2 - 0 +2 -
6. Indonesia 2 - 0 +2 -
7. Brazil 2 4. 4 -2 -
8. India 1 10. 1 +-0 -
9. Netherlands 1 - 0 +1 -
10. Slovenia 1 - 0 +1 -
11. Venezuela 1 - 0 +1 -
12. Poland 1 6. 2 -1 -
13. Colombia 1 - 0 +1 -
14. Croatia 1 - 0 +1 -
15. Albania 1 - 0 +1 -
16. Taiwan 1 - 0 +1 -
17. Czechia 1 - 0 +1 -

User-Agent

HTTPリクエストに含まれていたUser-Agentは以下の通りです。

順位 アクセス先 件数 前日の順位 前日の件数 件数差 備考
1. Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 5 18. 2 +3 -
2. Mozilla/5.0 (Windows; U; Windows NT 6.0;en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6) 4 16. 3 +1 -
3. Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 3 13. 5 -2 -
4. 未設定 3 12. 5 -2 -
5. Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 3 17. 2 +1 -
6. Mozilla/5.0 zgrab/0.x 2 19. 1 +1 ZGrabによるスキャン
7. Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7 2 - 0 +2 -
8. Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 2 14. 4 -2 -
9. Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0 1 - 0 +1 -
10. Go-http-client/1.1 1 20. 1 +-0 -
11. Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64) 1 - 0 +1 -
12. Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:47.0) Gecko/20100101 Firefox/47.0 1 - 0 +1 -
13. NetSystemsResearch studies the availability of various services across the internet. Our website is netsystemsresearch.com 1 - 0 +1 -

アクセス先

  • 2日連続でThinkPHPの探査と脆弱性を利用した攻撃を計3件観測しました。
    • 昨日と同じパスの探査と攻撃でしたが、送信元IPアドレスは異なっていました。
    • 今回の送信元IPアドレスは、TTNet A.S.(AS47331)に登録されていました。
  • 6日連続でZGrabによるスキャンを観測しました。
    • 件数は2件でした。
    • User-Agentは全てMozilla/5.0 zgrab/0.xでした。
    • 送信元IPアドレスは、Microsoft Corporation(AS8075)とDigitalOcean, LLC(AS14061)に登録されたものでした。

アクセス先一覧

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 22 2. 16 +6
2. トップページへのアクセス GET / HTTP/1.0 3 192. 2 +1
3. ThinkPHPの探査 GET /TP/public/index.php HTTP/1.1 1 329. 1 +-0
4. ThinkPHPの脆弱性を利用した攻撃(参照) GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 HTTP/1.1 1 330. 1 +-0
5. ThinkPHPの脆弱性を利用した攻撃(参照) POST /TP/public/index.php?s=captcha HTTP/1.1 1 331. 1 +-0
6. 不明 GET /ccvv HTTP/1.1 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。