cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/02/25)

ハニーポット観察日記(2019/02/25)

ハニーポット観察日記

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/02/25 (月) 00:00~23:59 UTC(運用53日目)に取得したログの簡易分析です。

NUUO NVRの脆弱性(CVE-2018-15716)の探査を初めて観測しました。

概況

  • 集計期間 : 2019/02/25 (月) 00:00~23:59 UTC
  • 総アクセス件数 : 26 件(前日比 -9 件)
    • トップページへのアクセス : 24 件
    • NUUO NVRの脆弱性(CVE-2018-15716)の探査 : 1 件
    • 不明 : 1 件
  • ユニークIPアドレス件数 : 25 件 (前日比 +-0 件)
  • アクセス元の国数 : 12 カ国 (前日比 -6 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. Brazil 6 4. 3 +3 -
2. United States 5 3. 3 +2 -
3. India 3 5. 2 +1 -
4. Russia 2 2. 5 -3 -
5. France 2 6. 2 +-0 -
6. China 2 1. 8 -6 -
7. Romania 1 17. 1 +-0 -
8. Georgia 1 - 0 +1 -
9. Ukraine 1 11. 1 +-0 -
10. Turkey 1 9. 1 +-0 -
11. Taiwan 1 - 0 +1 -
12. Czechia 1 - 0 +1 -

アクセス先

  • NUUO NVRの脆弱性(CVE-2018-15716)の探査を初めて観測しました。
    • 以下のパスに対する探査でした。
      • /upgrade_handle.php?cmd=getupgradinginfo
    • 件数は1件で、User-AgentはMozilla/5.0 zgrab/0.xでした。
    • 送信元IPアドレスGoogle LLC(AS15169)に登録されたものでした。
  • 2019/02/22以来、3日ぶりにZGrabによるスキャンを観測しました。
    • 件数は1件で、User-AgentはMozilla/5.0 zgrab/0.xでした。
    • 送信元IPアドレスは、NUUO NVRの脆弱性(CVE-2018-15716)の探査を行ったものとは異なっていました。
  • 2日連続でMASSCANによるスキャンを観測しました。
    • 件数は2件で、User-Agentはmasscan/1.0 (https://github.com/robertdavidgraham/masscan)でした。

NUUO NVRの脆弱性(CVE-2018-15716)の探査

S-Owlさんのところにも同様の探査があったようです。 sec-owl.hatenablog.com


Bad Packets Reportさんが探査の結果をツイートしていました。

アクセス先一覧

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 20 1. 20 +-0
2. トップページへのアクセス GET / HTTP/1.0 4 2. 3 +1
3. 不明 GET hxxp://5[.]188[.]210[.]12/echo.php HTTP/1.1 1 - 0 +1
4. NUUO NVRの脆弱性(CVE-2018-15716)の探査 GET /upgrade_handle.php?cmd=getupgradinginfo HTTP/1.1 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。