ハニーポット観察日記(2019/03/20)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/03/20 (水) 00:00~23:59 UTC(運用76日目)に取得したログの簡易分析です。
約1カ月ぶりにまとまったWebShellやphpMyAdminなどの探査とAxis Communications製品の探査を観測しました。
また、約2週間ぶりにZmEuによるスキャンがありました。
概況
- 集計期間 : 2019/03/20 (水) 00:00~23:59 UTC
- 総アクセス件数 : 137 件(前日比 +107 件)
- まとまったWebShellやphpMyAdminなどの探査 : 90 件
- phpMyAdminの探査 : 48 件
- WebShellの探査 : 31 件
- Tomcatの管理ページに対するログイン試行 : 8 件
- WordPressのコンフィグファイルの探査 : 1 件
- Network Weathermapの探査 : 1 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 1 件
- トップページへのアクセス : 30 件
- ZmEuによるスキャン : 12 件
- ZmEuによるスキャンの開始の合図 : 2 件
- ZmEuによるphpMyAdminの探査 : 10 件
- robots.txtの探査 : 3 件
- Axis Communications製品の探査 : 2 件
- まとまったWebShellやphpMyAdminなどの探査 : 90 件
- ユニークIPアドレス件数 : 35 件 (前日比 +6 件)
- アクセス元の国数 : 16 カ国 (前日比 -2 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 104 | 14. | 1 | +103 | - |
2. | United States | 8 | 1. | 6 | +2 | - |
3. | Brazil | 5 | 3. | 3 | +2 | - |
4. | India | 4 | 8. | 1 | +3 | - |
5. | Russia | 3 | 2. | 3 | +-0 | - |
6. | Taiwan | 2 | - | 0 | +2 | - |
7. | Japan | 2 | 4. | 2 | +-0 | - |
8. | Turkey | 1 | 13. | 1 | +-0 | - |
9. | Spain | 1 | 5. | 2 | -1 | - |
10. | Chile | 1 | - | 0 | +1 | - |
11. | Greece | 1 | 18. | 1 | +-0 | - |
12. | Slovakia | 1 | - | 0 | +1 | - |
13. | Sweden | 1 | - | 0 | +1 | - |
14. | Cambodia | 1 | - | 0 | +1 | - |
15. | Hungary | 1 | 15. | 1 | +-0 | - |
16. | Mexico | 1 | - | 0 | +1 | - |
アクセス先
- 2019/02/21以来、27日ぶりにまとまったWebShellやphpMyAdminなどの探査を観測しました。
- 件数は90件で、1つのIPアドレスから全ての探査が行われました。
- 2019/02/17以来、31日ぶりにAxis Communications製品の探査を観測しました。
- 件数は2件で、User-Agentは
AccServer[G3NWGDVR001]/5.8.0.28(34621) 64-bit HTTP-Agent
でした。 - 探査の対象となったパスは以下の通りです。
/axis-cgi/admin/param.cgi?action=list&group=Properties
- 1つのIPアドレスからこれらの探査が行われました。
- 1回目の探査の1秒後に2回目の探査が行われました。
- 件数は2件で、User-Agentは
- 2019/03/08以来、12日ぶりにZmEuによるスキャンを観測しました。
- 件数は12件で、1つのIPアドレスから全ての探査が行われました。
- 普段のスキャンと違う点は、1つのパスに対して、2回スキャンが行われたことです。
- 1回目の探査があった後、1秒以内に2回目の探査が行われました。
アクセス先一覧
アクセス先の一覧は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 27 | 1. | 25 | +2 |
2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 8 | - | 0 | +8 |
3. | robots.txtの探査 | HEAD /robots.txt HTTP/1.0 | 3 | 3. | 1 | +2 |
4. | トップページへのアクセス | GET / HTTP/1.0 | 3 | 2. | 2 | +1 |
5. | WebShellの探査 | GET /shell.php HTTP/1.1 | 2 | - | 0 | +2 |
6. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 2 | - | 0 | +2 |
7. | phpMyAdminの探査 | GET /xampp/phpmyadmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
8. | phpMyAdminの探査 | GET /www/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
9. | phpMyAdminの探査 | GET /tools/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
10. | phpMyAdminの探査 | GET /claroline/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
11. | phpMyAdminの探査 | GET /phpmyadmin/phpmyadmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
12. | phpMyAdminの探査 | GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
13. | phpMyAdminの探査 | GET /MyAdmin/index.php HTTP/1.1 | 2 | - | 0 | +2 |
14. | Axis Communications製品の探査(参照) | GET /axis-cgi/admin/param.cgi?action=list&group=Properties HTTP/1.0 | 2 | - | 0 | +2 |
15. | ZmEuによるスキャンの開始の合図 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1 | 2 | - | 0 | +2 |
16. | phpMyAdminの探査(ZmEuによるスキャン) | GET /pma/scripts/setup.php HTTP/1.1 | 2 | - | 0 | +2 |
17. | phpMyAdminの探査(ZmEuによるスキャン) | GET /myadmin/scripts/setup.php HTTP/1.1 | 2 | - | 0 | +2 |
18. | phpMyAdminの探査(ZmEuによるスキャン) | GET /MyAdmin/scripts/setup.php HTTP/1.1 | 2 | - | 0 | +2 |
19. | phpMyAdminの探査(ZmEuによるスキャン) | GET /phpmyadmin/scripts/setup.php HTTP/1.1 | 3 | - | 0 | +3 |
20. | phpMyAdminの探査(ZmEuによるスキャン) | GET /phpMyAdmin/scripts/setup.php HTTP/1.1 | 3 | - | 0 | +3 |
21. | phpMyAdminの探査(ZmEuによるスキャン以外) | GET /phpmyadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
22. | phpMyAdminの探査(ZmEuによるスキャン以外) | GET /phpMyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
23. | WebShellの探査 | GET /_query.php HTTP/1.1 | 1 | - | 0 | +1 |
24. | WebShellの探査 | GET /test.php HTTP/1.1 | 1 | - | 0 | +1 |
25. | WebShellの探査 | GET /help-e.php HTTP/1.1 | 1 | - | 0 | +1 |
26. | WebShellの探査 | GET /pmd_online.php HTTP/1.1 | 1 | - | 0 | +1 |
27. | WebShellの探査 | GET /x.php HTTP/1.1 | 1 | - | 0 | +1 |
28. | WebShellの探査 | GET /htdocs.php HTTP/1.1 | 1 | - | 0 | +1 |
29. | WebShellの探査 | GET /desktop.ini.php HTTP/1.1 | 1 | - | 0 | +1 |
30. | WebShellの探査 | GET /lala.php HTTP/1.1 | 1 | - | 0 | +1 |
31. | WebShellの探査 | GET /wpc.php HTTP/1.1 | 1 | - | 0 | +1 |
32. | WebShellの探査 | GET /text.php HTTP/1.1 | 1 | - | 0 | +1 |
33. | WordPressのコンフィグファイルの探査 | GET /wp-config.php HTTP/1.1 | 1 | - | 0 | +1 |
34. | WebShellの探査 | GET /muhstik.php HTTP/1.1 | 1 | - | 0 | +1 |
35. | WebShellの探査 | GET /muhstiks.php HTTP/1.1 | 1 | - | 0 | +1 |
36. | WebShellの探査 | GET /lol.php HTTP/1.1 | 1 | - | 0 | +1 |
37. | WebShellの探査 | GET /uploader.php HTTP/1.1 | 1 | - | 0 | +1 |
38. | WebShellの探査 | GET /cmv.php HTTP/1.1 | 1 | - | 0 | +1 |
39. | WebShellの探査 | GET /cmdd.php HTTP/1.1 | 1 | - | 0 | +1 |
40. | WebShellの探査 | GET /knal.php HTTP/1.1 | 1 | - | 0 | +1 |
41. | WebShellの探査 | GET /appserv.php HTTP/1.1 | 1 | - | 0 | +1 |
42. | phpMyAdminの探査 | GET /scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
43. | phpMyAdminの探査 | GET /phpMyAdmin/scripts/db___.init.php HTTP/1.1 | 1 | - | 0 | +1 |
44. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 1 | - | 0 | +1 |
45. | WebShellの探査 | POST /wuwu11.php HTTP/1.1 | 1 | - | 0 | +1 |
46. | WebShellの探査 | POST /xw1.php HTTP/1.1 | 1 | - | 0 | +1 |
47. | WebShellの探査 | POST /s.php HTTP/1.1 | 1 | - | 0 | +1 |
48. | WebShellの探査 | POST /w.php HTTP/1.1 | 1 | - | 0 | +1 |
49. | WebShellの探査 | POST /sheep.php HTTP/1.1 | 1 | - | 0 | +1 |
50. | WebShellの探査 | POST /db.init.php HTTP/1.1 | 1 | - | 0 | +1 |
51. | WebShellの探査 | POST /db_session.init.php HTTP/1.1 | 1 | - | 0 | +1 |
52. | WebShellの探査 | POST /db__.init.php HTTP/1.1 | 1 | - | 0 | +1 |
53. | WebShellの探査 | POST /wp-admins.php HTTP/1.1 | 1 | - | 0 | +1 |
54. | phpMyAdminの探査 | GET /mysql_admin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
55. | phpMyAdminの探査 | GET /phpmyadmin0/index.php HTTP/1.1 | 1 | - | 0 | +1 |
56. | phpMyAdminの探査 | GET /phpmyadmin1/index.php HTTP/1.1 | 1 | - | 0 | +1 |
57. | phpMyAdminの探査 | GET /phpMyAdmin-4.4.0/index.php HTTP/1.1 | 1 | - | 0 | +1 |
58. | phpMyAdminの探査 | GET /myadmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
59. | phpMyAdminの探査 | GET /phpmyadmin-old/index.php HTTP/1.1 | 1 | - | 0 | +1 |
60. | phpMyAdminの探査 | GET /phpMyAdminold/index.php HTTP/1.1 | 1 | - | 0 | +1 |
61. | phpMyAdminの探査 | GET /phpMyAdmin.old/index.php HTTP/1.1 | 1 | - | 0 | +1 |
62. | phpMyAdminの探査 | GET /typo3/phpmyadmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
63. | phpMyAdminの探査 | GET /phpma/index.php HTTP/1.1 | 1 | - | 0 | +1 |
64. | phpMyAdminの探査 | GET /phpMyAbmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
65. | phpMyAdminの探査 | GET /phpMyAdmin__/index.php HTTP/1.1 | 1 | - | 0 | +1 |
66. | phpMyAdminの探査 | GET /phpMyAdmin+++---/index.php HTTP/1.1 | 1 | - | 0 | +1 |
67. | phpMyAdminの探査 | GET /v/index.php HTTP/1.1 | 1 | - | 0 | +1 |
68. | phpMyAdminの探査 | GET /phpmyadm1n/index.php HTTP/1.1 | 1 | - | 0 | +1 |
69. | phpMyAdminの探査 | GET /phpMyAdm1n/index.php HTTP/1.1 | 1 | - | 0 | +1 |
70. | phpMyAdminの探査 | GET /shaAdmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
71. | phpMyAdminの探査 | GET /phpMyadmi/index.php HTTP/1.1 | 1 | - | 0 | +1 |
72. | phpMyAdminの探査 | GET /phpMyAdmion/index.php HTTP/1.1 | 1 | - | 0 | +1 |
73. | phpMyAdminの探査 | GET /s/index.php HTTP/1.1 | 1 | - | 0 | +1 |
74. | phpMyAdminの探査 | GET /phpMyAdmin1/index.php HTTP/1.1 | 1 | - | 0 | +1 |
75. | phpMyAdminの探査 | GET /phpMyAdmin123/index.php HTTP/1.1 | 1 | - | 0 | +1 |
76. | phpMyAdminの探査 | GET /pwd/index.php HTTP/1.1 | 1 | - | 0 | +1 |
77. | phpMyAdminの探査 | GET /phpMyAdmina/index.php HTTP/1.1 | 1 | - | 0 | +1 |
78. | phpMyAdminの探査 | GET /shopdb/index.php HTTP/1.1 | 1 | - | 0 | +1 |
79. | phpMyAdminの探査 | GET /phppma/index.php HTTP/1.1 | 1 | - | 0 | +1 |
80. | phpMyAdminの探査 | GET /phpmy/index.php HTTP/1.1 | 1 | - | 0 | +1 |
81. | phpMyAdminの探査 | GET /mysql/admin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
82. | phpMyAdminの探査 | GET /mysql/dbadmin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
83. | phpMyAdminの探査 | GET /mysql/mysqlmanager/index.php HTTP/1.1 | 1 | - | 0 | +1 |
84. | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。