ハニーポット観察日記(2019/02/25)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/02/25 (月) 00:00~23:59 UTC(運用53日目)に取得したログの簡易分析です。
NUUO NVRの脆弱性(CVE-2018-15716)の探査を初めて観測しました。
概況
- 集計期間 : 2019/02/25 (月) 00:00~23:59 UTC
- 総アクセス件数 : 26 件(前日比 -9 件)
- トップページへのアクセス : 24 件
- NUUO NVRの脆弱性(CVE-2018-15716)の探査 : 1 件
- 不明 : 1 件
- ユニークIPアドレス件数 : 25 件 (前日比 +-0 件)
- アクセス元の国数 : 12 カ国 (前日比 -6 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Brazil | 6 | 4. | 3 | +3 | - |
2. | United States | 5 | 3. | 3 | +2 | - |
3. | India | 3 | 5. | 2 | +1 | - |
4. | Russia | 2 | 2. | 5 | -3 | - |
5. | France | 2 | 6. | 2 | +-0 | - |
6. | China | 2 | 1. | 8 | -6 | - |
7. | Romania | 1 | 17. | 1 | +-0 | - |
8. | Georgia | 1 | - | 0 | +1 | - |
9. | Ukraine | 1 | 11. | 1 | +-0 | - |
10. | Turkey | 1 | 9. | 1 | +-0 | - |
11. | Taiwan | 1 | - | 0 | +1 | - |
12. | Czechia | 1 | - | 0 | +1 | - |
アクセス先
- NUUO NVRの脆弱性(CVE-2018-15716)の探査を初めて観測しました。
- 2019/02/22以来、3日ぶりにZGrabによるスキャンを観測しました。
- 件数は1件で、User-Agentは
Mozilla/5.0 zgrab/0.x
でした。 - 送信元IPアドレスは、NUUO NVRの脆弱性(CVE-2018-15716)の探査を行ったものとは異なっていました。
- 件数は1件で、User-Agentは
- 2日連続でMASSCANによるスキャンを観測しました。
- 件数は2件で、User-Agentは
masscan/1.0 (https://github.com/robertdavidgraham/masscan)
でした。
- 件数は2件で、User-Agentは
NUUO NVRの脆弱性(CVE-2018-15716)の探査
S-Owlさんのところにも同様の探査があったようです。 sec-owl.hatenablog.com
Bad Packets Reportさんが探査の結果をツイートしていました。
Note the first scans detected contained a typo. Always double check you have the correct path before you mass scan the entire internet! pic.twitter.com/IqBUXPBh04
— Bad Packets Report (@bad_packets) 2019年2月24日
⚠️ WARNING ⚠️
— Bad Packets Report (@bad_packets) 2019年2月26日
Incoming ZMap scans detected from multiple hosts checking for NUUO NVR devices vulnerable to remote code execution. pic.twitter.com/8srGPPM8Qb
アクセス先一覧
アクセス先の一覧は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 20 | 1. | 20 | +-0 |
2. | トップページへのアクセス | GET / HTTP/1.0 | 4 | 2. | 3 | +1 |
3. | 不明 | GET hxxp://5[.]188[.]210[.]12/echo.php HTTP/1.1 | 1 | - | 0 | +1 |
4. | NUUO NVRの脆弱性(CVE-2018-15716)の探査 | GET /upgrade_handle.php?cmd=getupgradinginfo HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。