ハニーポット観察日記(2019/03/28)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/03/28 (木) 00:00~23:59 UTC(運用84日目)に取得したログの簡易分析です。
WordPressのログインページに対するログイン試行とSony製のNeteork Cameraの探査と思われるアクセスを初めて観測しました。
WordPress関連のアクセス件数は767件でした。
概況
- 集計期間 : 2019/03/28 (木) 00:00~23:59 UTC
- 総アクセス件数 : 808 件(前日比 +781 件)
- トップページへのアクセス : 27 件
- robots.txtの探査 : 1 件
- WordPress関連 : 767 件
- ZmEuによるスキャン : 6 件
- ZmEuによるスキャンの開始の合図 : 1 件
- phpMyAdminの探査 : 5 件
- 意図不明 : 1 件
- Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 : 3 件
- ThinkPHP関連 : 2 件
- Sony製のNeteork Cameraの探査と思われるアクセス(参照) (初観測) :1 件
- ユニークIPアドレス件数 : 216 件 (前日比 +191 件)
- アクセス元の国数 : 35 カ国 (前日比 +15 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 248 | 6. | 1 | +247 | - |
2. | France | 132 | - | 0 | +132 | - |
3. | United Kingdom | 84 | - | 0 | +84 | - |
4. | Singapore | 72 | - | 0 | +72 | - |
5. | Germany | 39 | 14. | 1 | +38 | - |
6. | China | 31 | 4. | 2 | +29 | - |
7. | India | 24 | - | 0 | +24 | - |
8. | Turkey | 16 | 1. | 3 | +13 | - |
9. | None | 15 | - | 0 | +15 | - |
10. | South Korea | 15 | - | 0 | +15 | - |
11. | Chile | 13 | 19. | 1 | +12 | - |
12. | Australia | 12 | - | 0 | +12 | - |
13. | Netherlands | 12 | 20. | 1 | +11 | - |
14. | Russia | 11 | 18. | 1 | +10 | - |
15. | Ireland | 10 | - | 0 | +10 | - |
16. | Taiwan | 9 | - | 0 | +9 | - |
17. | Hong Kong | 9 | - | 0 | +9 | - |
18. | Brazil | 7 | 5. | 2 | +5 | - |
19. | Japan | 7 | 17. | 1 | +6 | - |
20. | Thailand | 6 | - | 0 | +6 | - |
21. | Vietnam | 6 | - | 0 | +6 | - |
22. | Poland | 4 | 8. | 1 | +3 | - |
23. | Iceland | 3 | - | 0 | +3 | - |
24. | Canada | 3 | - | 0 | +3 | - |
25. | Italy | 3 | 2. | 3 | +-0 | - |
26. | Romania | 3 | 15. | 1 | +2 | - |
27. | Latvia | 3 | - | 0 | +3 | - |
28. | Argentina | 3 | - | 0 | +3 | - |
29. | Ukraine | 2 | - | 0 | +2 | - |
30. | Guinea | 1 | - | 0 | +1 | - |
31. | Nepal | 1 | - | 0 | +1 | - |
32. | Bulgaria | 1 | - | 0 | +1 | - |
33. | Greece | 1 | 12. | 1 | +-0 | - |
34. | Malaysia | 1 | - | 0 | +1 | - |
35. | Bolivia | 1 | - | 0 | +1 | - |
アクセス先
- WordPressに関連するアクセスが767件ありました。
- Sony製のNeteork Cameraの探査と思われるアクセスを初めて観測しました。
- 件数は1件で、User-Agentは
AccServer[POR-SEC-DB01]/6.14.4.6(100559) 64-bit HTTP-Agent
でした。
- 件数は1件で、User-Agentは
- ZmEuによるスキャンがありました。
- phpMyAdminの探査が終了した後、パスが設定されていないHTTPリクエストが1件送られてきました。
Sony製のNeteork Cameraの探査と思われるアクセス
Sony製のNeteork Cameraの探査と思われるアクセスのHTTPリクエストは以下の通りです。
GET /command/inquiry.cgi?inq=tcpip&inq=network HTTP/1.0 Content-Length: 0 Connection: close User-Agent: AccServer[POR-SEC-DB01]/6.14.4.6(100559) 64-bit HTTP-Agent
アクセス先一覧
アクセス先の一覧は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | WordPressのログインページの探査 | GET /wp-login.php HTTP/1.1 | 255 | - | 0 | +255 |
2. | WordPressのログインページに対するログイン試行 | POST /wp-login.php HTTP/1.1 | 255 | - | 0 | +255 |
3. | WordPressのログインページに対するログイン試行 | POST /xmlrpc.php HTTP/1.1 | 255 | - | 0 | +255 |
4. | トップページへのアクセス | GET / HTTP/1.1 | 25 | 1. | 21 | +4 |
5. | トップページへのアクセス | GET / HTTP/1.0 | 2 | 5. | 1 | +1 |
6. | ZmEuによるスキャンの開始の合図 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1 | 1 | 2. | 1 | +-0 |
7. | phpMyAdminの探査(ZmEuによるスキャン) | GET /phpMyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
8. | phpMyAdminの探査(ZmEuによるスキャン) | GET /phpmyadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
9. | phpMyAdminの探査(ZmEuによるスキャン) | GET /pma/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
10. | phpMyAdminの探査(ZmEuによるスキャン) | GET /myadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
11. | phpMyAdminの探査(ZmEuによるスキャン) | GET /MyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
12. | 意図不明(ZmEuによるスキャン) | GET HTTP/1.1 | 1 | - | 0 | +1 |
13. | Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 | GET /struts2-rest-showcase/orders.xhtml HTTP/1.1 | 1 | - | 0 | +1 |
14. | Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 | GET /index.action HTTP/1.1 | 1 | - | 0 | +1 |
15. | Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 | GET /index.do HTTP/1.1 | 1 | - | 0 | +1 |
16. | robots.txtの探査 | HEAD /robots.txt HTTP/1.0 | 1 | - | 0 | +1 |
17. | WordPressのユーザ名の探査 | GET ///?author=1 HTTP/1.1 | 1 | - | 0 | +1 |
18. | WordPress REST APIを用いたWordPressのユーザ名の探査 | GET ///wp-json/wp/v2/users/ HTTP/1.1 | 1 | - | 0 | +1 |
19. | ThinkPHPの探査 | GET /TP/public/index.php HTTP/1.1 | 1 | - | 0 | +1 |
20. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 HTTP/1.1 | 1 | - | 0 | +1 |
21. | Sony製のNeteork Cameraの探査と思われるアクセス(参照) | GET /command/inquiry.cgi?inq=tcpip&inq=network HTTP/1.0 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。