cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/02/22)

ハニーポット観察日記(2019/02/22)

ハニーポット観察日記

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/02/22 (金) 00:00~23:59 UTC(運用50日目)に取得したログの簡易分析です。

WebShellの探査に加えて、WebShellへのコマンド実行指示と思われるアクセスを初めて観測しました。

概況

  • 集計期間 : 2019/02/22 (金) 00:00~23:59 UTC
  • 総アクセス件数 : 33 件(前日比 -112 件)
    • トップページへのアクセス : 28 件
    • WebShell関連 : 4 件
      • WebShellの探査開始の合図 : 1 件
      • WebShellの探査 : 1 件
      • WebShellへのコマンド実行指示と思われるアクセス : 2 件
    • 不明 : 1 件
  • ユニークIPアドレス件数 : 28 件 (前日比 +18 件)
  • アクセス元の国数 : 13 カ国 (前日比 +4 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. Brazil 8 8. 1 +7 -
2. China 5 - 0 +5 -
3. Taiwan 4 5. 1 +3 -
4. United States 3 2. 2 +1 -
5. India 3 - 0 +3 -
6. Turkey 2 7. 1 +1 -
7. Germany 2 3. 1 +1 -
8. Canada 1 - 0 +1 -
9. Vietnam 1 - 0 +1 -
10. Australia 1 - 0 +1 -
11. Russia 1 - 0 +1 -
12. Libya 1 - 0 +1 -
13. South Africa 1 - 0 +1 -

アクセス先

  • WebShellの探査に加えて、WebShellへのコマンド実行指示と思われるアクセスを初めて観測しました。
    • 普段は探査だけで終了しますが、今回は探査があった約10分後に、クエリパラメータにWebShellで実行されるコマンドと思われる文字列(ls -aldir)が含まれたGETリクエストが飛んできました。
    • User-AgentはMozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)でした。
    • 送信元IPアドレスはHangzhou Alibaba Advertising Co.,Ltd.(AS37963)に登録されたものでした。
  • 2日連続でZGrabによるスキャンを観測しました。
    • 件数は3件で、User-AgentはMozilla/5.0 zgrab/0.xでした。

アクセス先一覧

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 21 1. 6 +15
2. トップページへのアクセス GET / HTTP/1.0 7 132. 1 +6
3. 不明 GET /mailer/admin/index.php HTTP/1.1 1 - 0 +1
4. WebShellの探査開始の合図 GET //? HTTP/1.0 1 - 0 +1
5. WebShellの探査 GET //cmx.php? HTTP/1.0 1 - 0 +1
6. WebShellへのコマンド実行指示と思われるアクセス GET //cmx.php?cmd=ls%20-al HTTP/1.0 1 - 0 +1
7. WebShellへのコマンド実行指示と思われるアクセス GET //cmx.php?cmd=dir HTTP/1.0 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。