ハニーポット観察日記(2019/03/27)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/03/27 (水) 00:00~23:59 UTC(運用83日目)に取得したログの簡易分析です。
2019/03/25~2019/03/26の間、ハニーポットのログを取得できませんでした。そのため、記事の更新はお休みします。
初観測のアクセスが2件ありました。初観測のアクセスは、Cisco IOS Telephony Service(ITS)ルーターの探査と思われるアクセスと意図が不明なアクセスの2件です。
また、ZmEuによるスキャンや不完全なUser-Agentが設定されたアクセスがありました。
概況
- 集計期間 : 2019/03/27 (水) 00:00~23:59 UTC
- 総アクセス件数 : 27 件(前日比 - 件)
- トップページへのアクセス : 22 件
- ZmEUによるスキャン : 3 件
- ZmEuによるスキャンの開始の合図 : 1 件
- phpMyAdminの探査 : 2 件
- Cisco IOS Telephony Service(ITS)ルーターの探査と思われるアクセス : 1 件
- 意図不明 : 1 件
- ユニークIPアドレス件数 : 25 件 (前日比 - 件)
- アクセス元の国数 : 20 カ国 (前日比 - カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Turkey | 3 | - | 0 | +3 | - |
2. | Italy | 3 | - | 0 | +3 | - |
3. | Cambodia | 2 | - | 0 | +2 | - |
4. | China | 2 | - | 0 | +2 | - |
5. | Brazil | 2 | 4. | 1 | +1 | - |
6. | United States | 1 | - | 0 | +1 | - |
7. | Nigeria | 1 | - | 0 | +1 | - |
8. | Poland | 1 | - | 0 | +1 | - |
9. | Slovakia | 1 | - | 0 | +1 | - |
10. | Colombia | 1 | - | 0 | +1 | - |
11. | Philippines | 1 | - | 0 | +1 | - |
12. | Greece | 1 | - | 0 | +1 | - |
13. | Slovenia | 1 | - | 0 | +1 | - |
14. | Germany | 1 | - | 0 | +1 | - |
15. | Romania | 1 | - | 0 | +1 | - |
16. | Peru | 1 | - | 0 | +1 | - |
17. | Japan | 1 | - | 0 | +1 | - |
18. | Russia | 1 | 2. | 1 | +-0 | - |
19. | Chile | 1 | - | 0 | +1 | - |
20. | Netherlands | 1 | - | 0 | +1 | - |
アクセス先
- 初めて観測するパスへのアクセスが2件ありました。
- トップページへのアクセスの中に不完全なUser-Agentが設定されたものが1件ありました。
- User-Agentは
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1
でした。
- User-Agentは
意図が不明なアクセス
意図が不明なアクセスのHTTPリクエストは以下の通りです。
GET /requested.html HTTP/1.0 Content-Length: 3 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:30.N) Gecko/20110302 Firefox/30.0 200
アクセス先一覧
アクセス先の一覧は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 21 | 1. | 4 | +17 |
2. | ZmEuによるスキャンの開始の合図 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1 | 1 | - | 0 | +1 |
3. | phpMyAdminの探査(ZmEuによるスキャン) | GET /phpMyAdmin/scripts/db___.init.php HTTP/1.1 | 1 | - | 0 | +1 |
4. | phpMyAdminの探査(ZmEuによるスキャン) | GET /phpmyadmin/scripts/db___.init.php HTTP/1.1 | 1 | - | 0 | +1 |
5. | トップページへのアクセス | GET / HTTP/1.0 | 1 | - | 0 | +1 |
6. | 意図不明 | GET /requested.html HTTP/1.0 | 1 | - | 0 | +1 |
7. | Cisco IOS Telephony Service(ITS)ルーターの探査と思われるアクセス(参照) | GET /telephony-service.html HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。