cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/03/15)

ハニーポット観察日記(2019/03/15)

ハニーポット観察日記

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/03/15 (金) 00:00~23:59 UTC(運用71日目)に取得したログの簡易分析です。

ThinkPHPの脆弱性を利用した攻撃、FreePBXとXdebugの探査がありました。
また、phpMyAdminの探査で普段は設定されていないヘッダフィールド(Client-IPX-Forwarded-For)が設定されていました。

概況

  • 集計期間 : 2019/03/15 (金) 00:00~23:59 UTC
  • 総アクセス件数 : 37 件(前日比 +19 件)
    • トップページへのアクセス : 15 件
    • ThinkPHPの脆弱性を利用した攻撃 : 8 件
    • phpMyAdminの探査 : 6 件
    • robots.txtの探査 : 3 件
    • FreePBXの探査 : 2 件
    • Xdebugの探査 : 2 件
    • オープンプロキシの探査 : 1 件
  • ユニークIPアドレス件数 : 20 件 (前日比 +3 件)
  • アクセス元の国数 : 14 カ国 (前日比 +4 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. Russia 12 2. 3 +9 -
2. China 6 - 0 +6 -
3. Ukraine 3 - 0 +3 -
4. Estonia 3 - 0 +3 -
5. Iceland 2 - 0 +2 -
6. United States 2 5. 2 +-0 -
7. Brazil 2 3. 3 -1 -
8. Netherlands 1 - 0 +1 -
9. Singapore 1 8. 1 +-0 -
10. Australia 1 - 0 +1 -
11. Spain 1 10. 1 +-0 -
12. Czechia 1 - 0 +1 -
13. Cambodia 1 - 0 +1 -
14. El Salvador 1 - 0 +1 -

アクセス先

  • 2019/02/28以来、15日ぶりにThinkPHPの脆弱性を利用した攻撃を観測しました。
    • 件数は8件で、User-AgentはMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36でした。
    • 1つのIPアドレスから攻撃が行われました。また、同一のIPアドレスからXdebugの探査(後述)がありました。
  • Xdebugの探査を初めて観測しました。
    • 件数は2件で、User-AgentはThinkPHPの脆弱性を利用した攻撃と同じでした。
    • 探査の対象となったパスは以下の通りです。
      • /?XDEBUG_SESSION_START=phpstorm
    • 2件とも1つのIPアドレスからアクセスが行われました。また、このIPアドレスから前述のThinkPHPの脆弱性を利用した攻撃がありました。
  • 2019/02/24以来、19日ぶりにFreePBXの探査を観測しました。
    • 件数は2件で、User-Agentはpython-requests/2.21.0でした。
    • 探査の対象となったパスは以下の通りです。
      • /admin/assets/js/views/login.js
    • 2件とも1つのIPアドレスからアクセスが行われました。
    • 1回目の探査が行われた約7時間30分後に2回目の探査がありました。
  • 今日のphpMyAdminの探査では、以下の2種類のヘッダフィールドが設定されていました。これまでに観測したphpMyAdminの探査では、これらのヘッダフィールドは設定されていませんでした。
    • Client-IP
    • X-Forwarded-For
  • 今日はUser-AgentがUser-Agent: Zとなっているアクセスはありませんでした。

アクセス先一覧

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 14 1. 13 +1
2. phpMyAdminの探査 GET /index.php HTTP/1.1 3 - 0 +3
3. phpMyAdminの探査 GET /phpmyadmin/index.php HTTP/1.1 3 - 0 +3
4. robots.txtの探査 HEAD /robots.txt HTTP/1.0 3 4. 1 +2
5. FreePBXの探査(参照) GET /admin/assets/js/views/login.js HTTP/1.1 2 - 0 +2
6. Xdebugの探査(参照) GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1 2 - 0 +2
7. トップページへのアクセス HEAD / HTTP/1.0 1 - 0 +1
8. ThinkPHPの脆弱性を利用した攻撃(参照) GET /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 1 - 0 +1
9. ThinkPHPの脆弱性を利用した攻撃(参照) GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 1 - 0 +1
10. ThinkPHPの脆弱性を利用した攻撃(参照) GET /html/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 1 - 0 +1
11. ThinkPHPの脆弱性を利用した攻撃(参照) GET /thinkphp/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 1 - 0 +1
12. ThinkPHPの脆弱性を利用した攻撃(参照) GET /thinkphp/html/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 1 - 0 +1
13. ThinkPHPの脆弱性を利用した攻撃(参照) GET /TP/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 1 - 0 +1
14. ThinkPHPの脆弱性を利用した攻撃(参照) GET /TP/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 1 - 0 +1
15. ThinkPHPの脆弱性を利用した攻撃(参照) GET /TP/html/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP HTTP/1.1 1 - 0 +1
16. オープンプロキシの探査 GET hxxp://5[.]188[.]210[.]55/echo[.]php HTTP/1.1 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。