WOWHoneypot

ハニーポット「WOWHoneypot」で2019/03/27 (水) 00:00~23:59 UTC(運用83日目)に取得したログの簡易分析です。

2019/03/25~2019/03/26の間、ハニーポットのログを取得できませんでした。そのため、記事の更新はお休みします。

初観測のアクセスが2件ありました。初観測のアクセスは、Cisco IOS Telephony Service(ITS)ルーターの探査と思われるアクセスと意図が不明なアクセスの2件です。
また、ZmEuによるスキャンや不完全なUser-Agentが設定されたアクセスがありました。

概況

国別のアクセス件数は以下の通りです。

順位	国名	件数	前日の順位	前日の件数	件数差	備考
1.	Turkey	3	-	0	+3	-
2.	Italy	3	-	0	+3	-
3.	Cambodia	2	-	0	+2	-
4.	China	2	-	0	+2	-
5.	Brazil	2	4.	1	+1	-
6.	United States	1	-	0	+1	-
7.	Nigeria	1	-	0	+1	-
8.	Poland	1	-	0	+1	-
9.	Slovakia	1	-	0	+1	-
10.	Colombia	1	-	0	+1	-
11.	Philippines	1	-	0	+1	-
12.	Greece	1	-	0	+1	-
13.	Slovenia	1	-	0	+1	-
14.	Germany	1	-	0	+1	-
15.	Romania	1	-	0	+1	-
16.	Peru	1	-	0	+1	-
17.	Japan	1	-	0	+1	-
18.	Russia	1	2.	1	+-0	-
19.	Chile	1	-	0	+1	-
20.	Netherlands	1	-	0	+1	-

初めて観測するパスへのアクセスが2件ありました。
- 1件はCisco IOS Telephony Service(ITS)ルーターの探査と思われるアクセスです。
  - パスは以下の通りです。
    - /telephony-service.html
- 残りの1件のアクセスの意図は不明でした。
  - パスは以下の通りです。
    - /requested.html
  - GETリクエストですが、HTTPボディが設定されていました。
トップページへのアクセスの中に不完全なUser-Agentが設定されたものが1件ありました。
- User-AgentはMozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1でした。

意図が不明なアクセスのHTTPリクエストは以下の通りです。

GET /requested.html HTTP/1.0
Content-Length: 3
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:30.N) Gecko/20110302 Firefox/30.0

200

アクセス先の一覧は以下の通りです。

順位	備考	アクセス先	件数	前日の順位	前日の件数	件数差
1.	トップページへのアクセス	GET / HTTP/1.1	21	1.	4	+17
2.	ZmEuによるスキャンの開始の合図	GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1	1	-	0	+1
3.	phpMyAdminの探査(ZmEuによるスキャン)	GET /phpMyAdmin/scripts/db___.init.php HTTP/1.1	1	-	0	+1
4.	phpMyAdminの探査(ZmEuによるスキャン)	GET /phpmyadmin/scripts/db___.init.php HTTP/1.1	1	-	0	+1
5.	トップページへのアクセス	GET / HTTP/1.0	1	-	0	+1
6.	意図不明	GET /requested.html HTTP/1.0	1	-	0	+1
7.	Cisco IOS Telephony Service(ITS)ルーターの探査と思われるアクセス(参照)	GET /telephony-service.html HTTP/1.1	1	-	0	+1

WOWHoneypotで取得したログの簡易分析は以上です。