ハニーポット観察日記(2019/02/15)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/02/15 (金) 00:00~23:59 UTC(運用43日目)に取得したログの簡易分析です。
特徴
- 2日連続でThinkPHPの探査と脆弱性を利用した攻撃を計3件観測しました。
- 6日連続でZGrabによるスキャンを観測しました。
概況
- 集計期間 : 2019/02/15 (金) 00:00~23:59 UTC
- 総アクセス件数 : 29 件(前日比 -723 件)
- ユニークIPアドレス件数 : 26 件 (前日比 +3 件)
- アクセス元の国数 : 17 カ国 (前日比 +5 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Turkey | 4 | - | 0 | +4 | - |
2. | United States | 3 | 3. | 6 | -3 | - |
3. | China | 3 | 1. | 545 | -542 | - |
4. | Ukraine | 3 | - | 0 | +3 | - |
5. | Russia | 2 | - | 0 | +2 | - |
6. | Indonesia | 2 | - | 0 | +2 | - |
7. | Brazil | 2 | 4. | 4 | -2 | - |
8. | India | 1 | 10. | 1 | +-0 | - |
9. | Netherlands | 1 | - | 0 | +1 | - |
10. | Slovenia | 1 | - | 0 | +1 | - |
11. | Venezuela | 1 | - | 0 | +1 | - |
12. | Poland | 1 | 6. | 2 | -1 | - |
13. | Colombia | 1 | - | 0 | +1 | - |
14. | Croatia | 1 | - | 0 | +1 | - |
15. | Albania | 1 | - | 0 | +1 | - |
16. | Taiwan | 1 | - | 0 | +1 | - |
17. | Czechia | 1 | - | 0 | +1 | - |
User-Agent
HTTPリクエストに含まれていたUser-Agentは以下の通りです。
順位 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 | 5 | 18. | 2 | +3 | - |
2. | Mozilla/5.0 (Windows; U; Windows NT 6.0;en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6) | 4 | 16. | 3 | +1 | - |
3. | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 | 3 | 13. | 5 | -2 | - |
4. | 未設定 | 3 | 12. | 5 | -2 | - |
5. | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 | 3 | 17. | 2 | +1 | - |
6. | Mozilla/5.0 zgrab/0.x | 2 | 19. | 1 | +1 | ZGrabによるスキャン |
7. | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7 | 2 | - | 0 | +2 | - |
8. | Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 | 2 | 14. | 4 | -2 | - |
9. | Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0 | 1 | - | 0 | +1 | - |
10. | Go-http-client/1.1 | 1 | 20. | 1 | +-0 | - |
11. | Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64) | 1 | - | 0 | +1 | - |
12. | Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:47.0) Gecko/20100101 Firefox/47.0 | 1 | - | 0 | +1 | - |
13. | NetSystemsResearch studies the availability of various services across the internet. Our website is netsystemsresearch.com | 1 | - | 0 | +1 | - |
アクセス先
- 2日連続でThinkPHPの探査と脆弱性を利用した攻撃を計3件観測しました。
- 6日連続でZGrabによるスキャンを観測しました。
アクセス先一覧
アクセス先の一覧は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 22 | 2. | 16 | +6 |
2. | トップページへのアクセス | GET / HTTP/1.0 | 3 | 192. | 2 | +1 |
3. | ThinkPHPの探査 | GET /TP/public/index.php HTTP/1.1 | 1 | 329. | 1 | +-0 |
4. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 HTTP/1.1 | 1 | 330. | 1 | +-0 |
5. | ThinkPHPの脆弱性を利用した攻撃(参照) | POST /TP/public/index.php?s=captcha HTTP/1.1 | 1 | 331. | 1 | +-0 |
6. | 不明 | GET /ccvv HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。