cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/03/31)

ハニーポット観察日記(2019/03/31)

ハニーポット観察日記

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/03/31 (日) 00:00~23:59 UTC(運用87日目)に取得したログの簡易分析です。

再びWordPressのログインページに対するログイン試行を観測しました。今回は約3時間で1,500件のログイン試行がありました。

概況

  • 集計期間 : 2019/03/31 (日) 00:00~23:59 UTC
  • 総アクセス件数 : 2,322 件(前日比 +1,518 件)
    • トップページへのアクセス : 21 件
    • robots.txtの探査 : 2 件
    • WordPress関連 : 2,296 件
    • ThinkPHP関連 : 3 件
      • ThinkPHPの探査 : 1 件
      • ThinkPHPの脆弱性を利用した攻撃(参照) : 2 件
  • ユニークIPアドレス件数 : 251 件 (前日比 +93 件)
  • アクセス元の国数 : 34 カ国 (前日比 +2 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 717 2. 187 +530 -
2. Singapore 282 4. 45 +237 -
3. France 279 1. 300 -21 -
4. United Kingdom 264 3. 81 +183 -
5. India 118 9. 15 +103 -
6. Germany 113 6. 19 +94 -
7. China 85 13. 9 +76 -
8. South Korea 78 5. 27 +51 -
9. Netherlands 54 19. 3 +51 -
10. Vietnam 42 18. 3 +39 -
11. None 27 10. 12 +15 -
12. Japan 27 8. 18 +9 -
13. Latvia 27 23. 3 +24 -
14. Turkey 25 - 0 +25 -
15. Australia 24 17. 4 +20 -
16. Taiwan 18 20. 3 +15 -
17. Thailand 18 12. 9 +9 -
18. Russia 15 25. 1 +14 -
19. Iceland 15 - 0 +15 -
20. Argentina 12 - 0 +12 -
21. Poland 12 - 0 +12 -
22. Ukraine 12 32. 1 +11 -
23. Italy 9 7. 19 -10 -
24. Colombia 9 - 0 +9 -
25. Hong Kong 9 - 0 +9 -
26. Belgium 6 - 0 +6 -
27. Venezuela 6 - 0 +6 -
28. Brazil 5 11. 11 -6 -
29. Tunisia 3 - 0 +3 -
30. Canada 3 16. 6 -3 -
31. Peru 3 - 0 +3 -
32. Greece 2 15. 7 -5 -
33. Mexico 2 30. 1 +1 -
34. Sweden 1 - 0 +1 -

アクセス先

  • 21:00頃から日付が変わる直前にかけて、WordPressのログインページに対するログイン試行が約1,500件ありました。
    • 約220個のIPアドレスからWordPressのログインページに対するログイン試行が行われました。
    • 前回(2019/03/28~2019/03/30)のログイン試行のパスは/wp-login.php/xmlrpc.phpが対象でしたが、今回のパスは/*/wp-login.php/*/xmlrpc.phpの*の部分にshopやnewsなど文字列が入っており、よく使われる単語が対象となっていました。
  • また、WordPressのユーザ名の探査とWordPress REST APIを用いたWordPressのユーザ名の探査が7件ずつありました。

アクセス先一覧

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. WordPressのログインページの探査 GET /shop/wp-login.php HTTP/1.1 87 7. 1 +86
2. WordPressのログインページに対するログイン試行 POST /shop/wp-login.php HTTP/1.1 87 - 0 +87
3. WordPressのログインページに対するログイン試行 POST /shop/xmlrpc.php HTTP/1.1 87 - 0 +87
4. WordPressのログインページの探査 GET /blog2/wp-login.php HTTP/1.1 86 - 0 +86
5. WordPressのログインページの探査 GET /news/wp-login.php HTTP/1.1 85 - 0 +85
6. WordPressのログインページの探査 GET /blog3/wp-login.php HTTP/1.1 85 - 0 +85
7. WordPressのログインページに対するログイン試行 POST /forum/xmlrpc.php HTTP/1.1 85 - 0 +85
8. WordPressのログインページに対するログイン試行 POST /blog3/wp-login.php HTTP/1.1 85 - 0 +85
9. WordPressのログインページに対するログイン試行 POST /blog2/xmlrpc.php HTTP/1.1 85 - 0 +85
10. WordPressのログインページの探査 GET /forum/wp-login.php HTTP/1.1 84 - 0 +84
11. WordPressのログインページの探査 GET /1/wp-login.php HTTP/1.1 84 - 0 +84
12. WordPressのログインページの探査 GET /2/wp-login.php HTTP/1.1 84 - 0 +84
13. WordPressのログインページに対するログイン試行 POST /forum/wp-login.php HTTP/1.1 84 - 0 +84
14. WordPressのログインページの探査 GET /blog/wp-login.php HTTP/1.1 84 10. 1 +83
15. WordPressのログインページに対するログイン試行 POST /1/xmlrpc.php HTTP/1.1 84 - 0 +84
16. WordPressのログインページに対するログイン試行 POST /blog/wp-login.php HTTP/1.1 84 - 0 +84
17. WordPressのログインページに対するログイン試行 POST /blog/xmlrpc.php HTTP/1.1 84 - 0 +84
18. WordPressのログインページに対するログイン試行 POST /blog3/xmlrpc.php HTTP/1.1 84 - 0 +84
19. WordPressのログインページに対するログイン試行 POST /blog2/wp-login.php HTTP/1.1 84 - 0 +84
20. WordPressのログインページに対するログイン試行 POST /news/xmlrpc.php HTTP/1.1 84 - 0 +84
21. WordPressのログインページに対するログイン試行 POST /2/wp-login.php HTTP/1.1 84 - 0 +84
22. WordPressのログインページに対するログイン試行 POST /2/xmlrpc.php HTTP/1.1 84 - 0 +84
23. WordPressのログインページに対するログイン試行 POST /news/wp-login.php HTTP/1.1 83 - 0 +83
24. WordPressのログインページに対するログイン試行 POST /1/wp-login.php HTTP/1.1 82 - 0 +82
25. WordPressのログインページの探査 GET /vlog/wp-login.php HTTP/1.1 81 13. 1 +80
26. WordPressのログインページに対するログイン試行 POST /vlog/wp-login.php HTTP/1.1 81 - 0 +81
27. WordPressのログインページに対するログイン試行 POST /vlog/xmlrpc.php HTTP/1.1 81 - 0 +81
28. トップページへのアクセス GET / HTTP/1.1 15 5. 24 -9
29. トップページへのアクセス GET / HTTP/1.0 5 6. 5 +-0
30. WordPressのログインページの探査 GET /3/wp-login.php HTTP/1.1 4 - 0 +4
31. WordPressのログインページに対するログイン試行 POST /3/wp-login.php HTTP/1.1 3 - 0 +3
32. WordPressのログインページに対するログイン試行 POST /3/xmlrpc.php HTTP/1.1 3 - 0 +3
33. robots.txtの探査 HEAD /robots.txt HTTP/1.0 1 - 0 +1
34. WordPressのユーザ名の探査 GET /forum//?author=1 HTTP/1.1 1 - 0 +1
35. WordPress REST APIを用いたWordPressのユーザ名の探査 GET /forum//wp-json/wp/v2/users/ HTTP/1.1 1 - 0 +1
36. WordPressのユーザ名の探査 GET /news//?author=1 HTTP/1.1 1 - 0 +1
37. WordPress REST APIを用いたWordPressのユーザ名の探査 GET /news//wp-json/wp/v2/users/ HTTP/1.1 1 - 0 +1
38. robots.txtの探査 GET /robots.txt HTTP/1.1 1 - 0 +1
39. WordPressのユーザ名の探査 GET /blog2//?author=1 HTTP/1.1 1 - 0 +1
40. WordPress REST APIを用いたWordPressのユーザ名の探査 GET /blog2//wp-json/wp/v2/users/ HTTP/1.1 1 - 0 +1
41. WordPressのユーザ名の探査 GET /blog3//?author=1 HTTP/1.1 1 - 0 +1
42. WordPress REST APIを用いたWordPressのユーザ名の探査 GET /blog3//wp-json/wp/v2/users/ HTTP/1.1 1 - 0 +1
43. WordPressのユーザ名の探査 GET /1//?author=1 HTTP/1.1 1 - 0 +1
44. WordPress REST APIを用いたWordPressのユーザ名の探査 GET /1//wp-json/wp/v2/users/ HTTP/1.1 1 - 0 +1
45. WordPressのユーザ名の探査 GET /2//?author=1 HTTP/1.1 1 - 0 +1
46. WordPress REST APIを用いたWordPressのユーザ名の探査 GET /2//wp-json/wp/v2/users/ HTTP/1.1 1 - 0 +1
47. トップページへのアクセス HEAD / HTTP/1.0 1 - 0 +1
48. WordPressのユーザ名の探査 GET /3//?author=1 HTTP/1.1 1 - 0 +1
49. WordPress REST APIを用いたWordPressのユーザ名の探査 GET /3//wp-json/wp/v2/users/ HTTP/1.1 1 - 0 +1
50. ThinkPHPの探査 GET /TP/public/index.php HTTP/1.1 1 16. 1 +-0
51. ThinkPHPの脆弱性を利用した攻撃(参照) GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 HTTP/1.1 1 17. 1 +-0
52. ThinkPHPの脆弱性を利用した攻撃(参照) POST /TP/public/index.php?s=captcha HTTP/1.1 1 18. 1 +-0

WOWHoneypotで取得したログの簡易分析は以上です。