cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/03/20)

ハニーポット観察日記(2019/03/20)

ハニーポット観察日記

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/03/20 (水) 00:00~23:59 UTC(運用76日目)に取得したログの簡易分析です。

約1カ月ぶりにまとまったWebShellやphpMyAdminなどの探査とAxis Communications製品の探査を観測しました。
また、約2週間ぶりにZmEuによるスキャンがありました。

概況

  • 集計期間 : 2019/03/20 (水) 00:00~23:59 UTC
  • 総アクセス件数 : 137 件(前日比 +107 件)
    • まとまったWebShellやphpMyAdminなどの探査 : 90 件
    • トップページへのアクセス : 30 件
    • ZmEuによるスキャン : 12 件
      • ZmEuによるスキャンの開始の合図 : 2 件
      • ZmEuによるphpMyAdminの探査 : 10 件
    • robots.txtの探査 : 3 件
    • Axis Communications製品の探査 : 2 件
  • ユニークIPアドレス件数 : 35 件 (前日比 +6 件)
  • アクセス元の国数 : 16 カ国 (前日比 -2 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. China 104 14. 1 +103 -
2. United States 8 1. 6 +2 -
3. Brazil 5 3. 3 +2 -
4. India 4 8. 1 +3 -
5. Russia 3 2. 3 +-0 -
6. Taiwan 2 - 0 +2 -
7. Japan 2 4. 2 +-0 -
8. Turkey 1 13. 1 +-0 -
9. Spain 1 5. 2 -1 -
10. Chile 1 - 0 +1 -
11. Greece 1 18. 1 +-0 -
12. Slovakia 1 - 0 +1 -
13. Sweden 1 - 0 +1 -
14. Cambodia 1 - 0 +1 -
15. Hungary 1 15. 1 +-0 -
16. Mexico 1 - 0 +1 -

アクセス先

  • 2019/02/21以来、27日ぶりにまとまったWebShellやphpMyAdminなどの探査を観測しました。
    • 件数は90件で、1つのIPアドレスから全ての探査が行われました。
  • 2019/02/17以来、31日ぶりにAxis Communications製品の探査を観測しました。
    • 件数は2件で、User-AgentはAccServer[G3NWGDVR001]/5.8.0.28(34621) 64-bit HTTP-Agentでした。
    • 探査の対象となったパスは以下の通りです。
      • /axis-cgi/admin/param.cgi?action=list&group=Properties
    • 1つのIPアドレスからこれらの探査が行われました。
    • 1回目の探査の1秒後に2回目の探査が行われました。
  • 2019/03/08以来、12日ぶりにZmEuによるスキャンを観測しました。
    • 件数は12件で、1つのIPアドレスから全ての探査が行われました。
    • 普段のスキャンと違う点は、1つのパスに対して、2回スキャンが行われたことです。
    • 1回目の探査があった後、1秒以内に2回目の探査が行われました。

アクセス先一覧

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 27 1. 25 +2
2. Tomcatの管理ページに対するログイン試行 GET /manager/html HTTP/1.1 8 - 0 +8
3. robots.txtの探査 HEAD /robots.txt HTTP/1.0 3 3. 1 +2
4. トップページへのアクセス GET / HTTP/1.0 3 2. 2 +1
5. WebShellの探査 GET /shell.php HTTP/1.1 2 - 0 +2
6. WebShellの探査 GET /cmd.php HTTP/1.1 2 - 0 +2
7. phpMyAdminの探査 GET /xampp/phpmyadmin/index.php HTTP/1.1 2 - 0 +2
8. phpMyAdminの探査 GET /www/phpMyAdmin/index.php HTTP/1.1 2 - 0 +2
9. phpMyAdminの探査 GET /tools/phpMyAdmin/index.php HTTP/1.1 2 - 0 +2
10. phpMyAdminの探査 GET /claroline/phpMyAdmin/index.php HTTP/1.1 2 - 0 +2
11. phpMyAdminの探査 GET /phpmyadmin/phpmyadmin/index.php HTTP/1.1 2 - 0 +2
12. phpMyAdminの探査 GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 2 - 0 +2
13. phpMyAdminの探査 GET /MyAdmin/index.php HTTP/1.1 2 - 0 +2
14. Axis Communications製品の探査(参照) GET /axis-cgi/admin/param.cgi?action=list&group=Properties HTTP/1.0 2 - 0 +2
15. ZmEuによるスキャンの開始の合図 GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1 2 - 0 +2
16. phpMyAdminの探査(ZmEuによるスキャン) GET /pma/scripts/setup.php HTTP/1.1 2 - 0 +2
17. phpMyAdminの探査(ZmEuによるスキャン) GET /myadmin/scripts/setup.php HTTP/1.1 2 - 0 +2
18. phpMyAdminの探査(ZmEuによるスキャン) GET /MyAdmin/scripts/setup.php HTTP/1.1 2 - 0 +2
19. phpMyAdminの探査(ZmEuによるスキャン) GET /phpmyadmin/scripts/setup.php HTTP/1.1 3 - 0 +3
20. phpMyAdminの探査(ZmEuによるスキャン) GET /phpMyAdmin/scripts/setup.php HTTP/1.1 3 - 0 +3
21. phpMyAdminの探査(ZmEuによるスキャン以外) GET /phpmyadmin/scripts/setup.php HTTP/1.1 1 - 0 +1
22. phpMyAdminの探査(ZmEuによるスキャン以外) GET /phpMyAdmin/scripts/setup.php HTTP/1.1 1 - 0 +1
23. WebShellの探査 GET /_query.php HTTP/1.1 1 - 0 +1
24. WebShellの探査 GET /test.php HTTP/1.1 1 - 0 +1
25. WebShellの探査 GET /help-e.php HTTP/1.1 1 - 0 +1
26. WebShellの探査 GET /pmd_online.php HTTP/1.1 1 - 0 +1
27. WebShellの探査 GET /x.php HTTP/1.1 1 - 0 +1
28. WebShellの探査 GET /htdocs.php HTTP/1.1 1 - 0 +1
29. WebShellの探査 GET /desktop.ini.php HTTP/1.1 1 - 0 +1
30. WebShellの探査 GET /lala.php HTTP/1.1 1 - 0 +1
31. WebShellの探査 GET /wpc.php HTTP/1.1 1 - 0 +1
32. WebShellの探査 GET /text.php HTTP/1.1 1 - 0 +1
33. WordPressのコンフィグファイルの探査 GET /wp-config.php HTTP/1.1 1 - 0 +1
34. WebShellの探査 GET /muhstik.php HTTP/1.1 1 - 0 +1
35. WebShellの探査 GET /muhstiks.php HTTP/1.1 1 - 0 +1
36. WebShellの探査 GET /lol.php HTTP/1.1 1 - 0 +1
37. WebShellの探査 GET /uploader.php HTTP/1.1 1 - 0 +1
38. WebShellの探査 GET /cmv.php HTTP/1.1 1 - 0 +1
39. WebShellの探査 GET /cmdd.php HTTP/1.1 1 - 0 +1
40. WebShellの探査 GET /knal.php HTTP/1.1 1 - 0 +1
41. WebShellの探査 GET /appserv.php HTTP/1.1 1 - 0 +1
42. phpMyAdminの探査 GET /scripts/setup.php HTTP/1.1 1 - 0 +1
43. phpMyAdminの探査 GET /phpMyAdmin/scripts/db___.init.php HTTP/1.1 1 - 0 +1
44. Network Weathermapの探査 GET /cacti/plugins/weathermap/editor.php HTTP/1.1 1 - 0 +1
45. WebShellの探査 POST /wuwu11.php HTTP/1.1 1 - 0 +1
46. WebShellの探査 POST /xw1.php HTTP/1.1 1 - 0 +1
47. WebShellの探査 POST /s.php HTTP/1.1 1 - 0 +1
48. WebShellの探査 POST /w.php HTTP/1.1 1 - 0 +1
49. WebShellの探査 POST /sheep.php HTTP/1.1 1 - 0 +1
50. WebShellの探査 POST /db.init.php HTTP/1.1 1 - 0 +1
51. WebShellの探査 POST /db_session.init.php HTTP/1.1 1 - 0 +1
52. WebShellの探査 POST /db__.init.php HTTP/1.1 1 - 0 +1
53. WebShellの探査 POST /wp-admins.php HTTP/1.1 1 - 0 +1
54. phpMyAdminの探査 GET /mysql_admin/index.php HTTP/1.1 1 - 0 +1
55. phpMyAdminの探査 GET /phpmyadmin0/index.php HTTP/1.1 1 - 0 +1
56. phpMyAdminの探査 GET /phpmyadmin1/index.php HTTP/1.1 1 - 0 +1
57. phpMyAdminの探査 GET /phpMyAdmin-4.4.0/index.php HTTP/1.1 1 - 0 +1
58. phpMyAdminの探査 GET /myadmin/index.php HTTP/1.1 1 - 0 +1
59. phpMyAdminの探査 GET /phpmyadmin-old/index.php HTTP/1.1 1 - 0 +1
60. phpMyAdminの探査 GET /phpMyAdminold/index.php HTTP/1.1 1 - 0 +1
61. phpMyAdminの探査 GET /phpMyAdmin.old/index.php HTTP/1.1 1 - 0 +1
62. phpMyAdminの探査 GET /typo3/phpmyadmin/index.php HTTP/1.1 1 - 0 +1
63. phpMyAdminの探査 GET /phpma/index.php HTTP/1.1 1 - 0 +1
64. phpMyAdminの探査 GET /phpMyAbmin/index.php HTTP/1.1 1 - 0 +1
65. phpMyAdminの探査 GET /phpMyAdmin__/index.php HTTP/1.1 1 - 0 +1
66. phpMyAdminの探査 GET /phpMyAdmin+++---/index.php HTTP/1.1 1 - 0 +1
67. phpMyAdminの探査 GET /v/index.php HTTP/1.1 1 - 0 +1
68. phpMyAdminの探査 GET /phpmyadm1n/index.php HTTP/1.1 1 - 0 +1
69. phpMyAdminの探査 GET /phpMyAdm1n/index.php HTTP/1.1 1 - 0 +1
70. phpMyAdminの探査 GET /shaAdmin/index.php HTTP/1.1 1 - 0 +1
71. phpMyAdminの探査 GET /phpMyadmi/index.php HTTP/1.1 1 - 0 +1
72. phpMyAdminの探査 GET /phpMyAdmion/index.php HTTP/1.1 1 - 0 +1
73. phpMyAdminの探査 GET /s/index.php HTTP/1.1 1 - 0 +1
74. phpMyAdminの探査 GET /phpMyAdmin1/index.php HTTP/1.1 1 - 0 +1
75. phpMyAdminの探査 GET /phpMyAdmin123/index.php HTTP/1.1 1 - 0 +1
76. phpMyAdminの探査 GET /pwd/index.php HTTP/1.1 1 - 0 +1
77. phpMyAdminの探査 GET /phpMyAdmina/index.php HTTP/1.1 1 - 0 +1
78. phpMyAdminの探査 GET /shopdb/index.php HTTP/1.1 1 - 0 +1
79. phpMyAdminの探査 GET /phppma/index.php HTTP/1.1 1 - 0 +1
80. phpMyAdminの探査 GET /phpmy/index.php HTTP/1.1 1 - 0 +1
81. phpMyAdminの探査 GET /mysql/admin/index.php HTTP/1.1 1 - 0 +1
82. phpMyAdminの探査 GET /mysql/dbadmin/index.php HTTP/1.1 1 - 0 +1
83. phpMyAdminの探査 GET /mysql/mysqlmanager/index.php HTTP/1.1 1 - 0 +1
84. WordPress用のPortable phpMyAdmin脆弱性(CVE-2012-5469)を利用した攻撃 GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。