ハニーポット観察日記(2019/03/16)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/03/16 (土) 00:00~23:59 UTC(運用72日目)に取得したログの簡易分析です。
36日ぶりにDASAN Zhone Solutions製のGPON Home Routerの脆弱性(CVE-2018-10561)を利用した攻撃を観測しました。今回の攻撃で使用されたUser-AgentはNakumaでした。
また、ProbeTheNet projectによるスキャンを初めて観測しました。
概況
- 集計期間 : 2019/03/16 (土) 00:00~23:59 UTC
- 総アクセス件数 : 29 件(前日比 -8 件)
- トップページへのアクセス : 20 件
- robots.txtの探査 : 2 件
- ProbeTheNet projectによるスキャン(初観測) : 2 件
- WebShellの探査 : 1 件
- DASAN Zhone Solutions製のGPON Home Routerの脆弱性(CVE-2018-10561)を利用した攻撃 : 1 件
- サイトマップの探査 : 1 件
- SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 : 1 件
- ファビコンの探査 : 1 件
- ユニークIPアドレス件数 : 24 件 (前日比 +4 件)
- アクセス元の国数 : 18 カ国 (前日比 +4 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | Netherlands | 5 | 8. | 1 | +4 | - |
| 2. | United States | 3 | 6. | 2 | +1 | - |
| 3. | Brazil | 3 | 7. | 2 | +1 | - |
| 4. | Canada | 3 | - | 0 | +3 | - |
| 5. | Turkey | 2 | - | 0 | +2 | - |
| 6. | Ukraine | 1 | 3. | 3 | -2 | - |
| 7. | New Zealand | 1 | - | 0 | +1 | - |
| 8. | Indonesia | 1 | - | 0 | +1 | - |
| 9. | South Korea | 1 | - | 0 | +1 | - |
| 10. | Poland | 1 | - | 0 | +1 | - |
| 11. | Estonia | 1 | 4. | 3 | -2 | - |
| 12. | Russia | 1 | 1. | 12 | -11 | - |
| 13. | Japan | 1 | - | 0 | +1 | - |
| 14. | France | 1 | - | 0 | +1 | - |
| 15. | Czechia | 1 | 12. | 1 | +-0 | - |
| 16. | St Kitts and Nevis | 1 | - | 0 | +1 | - |
| 17. | Spain | 1 | 11. | 1 | +-0 | - |
| 18. | Slovenia | 1 | - | 0 | +1 | - |
アクセス先
- 2019/02/08以来、36日ぶりにDASAN Zhone Solutions製のGPON Home Routerの脆弱性(CVE-2018-10561)を利用した攻撃を観測しました。
- 件数は1件で、User-Agentは
Nakumaでした。 - 前回のUser-Agentは
Yakuza/2.0で、Mirai亜種による攻撃と思われるものでした。
- 件数は1件で、User-Agentは
- ProbeTheNet projectによるスキャンを初めて観測しました。
アクセス先一覧
アクセス先の一覧は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | トップページへのアクセス | GET / HTTP/1.1 | 19 | 1. | 14 | +5 |
| 2. | トップページへのアクセス | GET / HTTP/1.0 | 1 | - | 0 | +1 |
| 3. | ProbeTheNet projectによるスキャン | GET / HTTP/1.0 | 1 | - | 0 | +1 |
| 4. | DASAN Zhone Solutions製のGPON Home Routerの脆弱性(CVE-2018-10561)を利用した攻撃 | POST /GponForm/diag_Form?images/ HTTP/1.1 | 1 | - | 0 | +1 |
| 5. | robots.txtの探査 | HEAD /robots.txt HTTP/1.0 | 1 | 4. | 3 | -2 |
| 6. | ProbeTheNet projectによるスキャン | HEAD /redirect.php HTTP/1.0 | 1 | - | 0 | +1 |
| 7. | robots.txtの探査 | GET /robots.txt HTTP/1.1 | 1 | - | 0 | +1 |
| 8. | サイトマップの探査 | GET /sitemap.xml HTTP/1.1 | 1 | - | 0 | +1 |
| 9. | SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査 | GET /.well-known/security.txt HTTP/1.1 | 1 | - | 0 | +1 |
| 10. | ファビコンの探査 | GET /favicon.ico HTTP/1.1 | 1 | - | 0 | +1 |
| 11. | WebShellの探査 | GET /acadmin.php HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。
