ハニーポット観察日記(2019/04/01)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/04/01 (月) 00:00~23:59 UTC(運用88日目)に取得したログの簡易分析です。
WordPressのログインページに対するログイン試行はありませんでした。一方でWordPressのユーザ名の探査がありました。
概況
- 集計期間 : 2019/04/01 (月) 00:00~23:59 UTC
- 総アクセス件数 : 55 件(前日比 -2,267 件)
- トップページへのアクセス : 24 件
- robots.txtの探査 : 1 件
- WordPress関連 : 6 件
- ThinkPHP関連 : 3 件
- ZmEuによるスキャン : 6 件
- ZmEuによるスキャンの開始の合図 : 1 件
- phpMyAdminの探査
- Tomcatの管理ページに対するログイン試行 : 6 件
- WebShellの探査 : 1 件
- phpMyAdminの探査(ZmEuによるスキャン以外) : 1 件
- Adobe ColdFusionの探査 : 1 件
- オープンプロキシの探査 : 6 件
- ユニークIPアドレス件数 : 37 件 (前日比 -214 件)
- アクセス元の国数 : 18 カ国 (前日比 -16 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 18 | 7. | 85 | -67 | - |
2. | United States | 9 | 1. | 717 | -708 | - |
3. | Brazil | 6 | 28. | 5 | +1 | - |
4. | Vietnam | 4 | 10. | 42 | -38 | - |
5. | France | 3 | 3. | 279 | -276 | - |
6. | Ireland | 2 | - | 0 | +2 | - |
7. | Thailand | 2 | 17. | 18 | -16 | - |
8. | None | 1 | 11. | 27 | -26 | - |
9. | Italy | 1 | 23. | 9 | -8 | - |
10. | Japan | 1 | 12. | 27 | -26 | - |
11. | Australia | 1 | 15. | 24 | -23 | - |
12. | Germany | 1 | 6. | 113 | -112 | - |
13. | St Kitts and Nevis | 1 | - | 0 | +1 | - |
14. | Poland | 1 | 21. | 12 | -11 | - |
15. | Colombia | 1 | 24. | 9 | -8 | - |
16. | Russia | 1 | 18. | 15 | -14 | - |
17. | Indonesia | 1 | - | 0 | +1 | - |
18. | India | 1 | 5. | 118 | -117 | - |
アクセス先
- 今日はWordPressのログインページに対するログイン試行は0件でしたが、
WordPressのログインページの探査
、WordPressのユーザ名の探査
、WordPress REST APIを用いたWordPressのユーザ名の探査
がセットとなったアクセスが2件ありました。- 2個のIPアドレスから1セットずつアクセスがありました。
アクセス先一覧
アクセス先の一覧は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 22 | 28. | 15 | +7 |
2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 6 | - | 0 | +6 |
3. | ZmEuによるスキャンの開始の合図 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1 | 1 | - | 0 | +1 |
4. | phpMyAdminの探査(ZmEuによるスキャン) | GET /phpMyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
5. | phpMyAdminの探査(ZmEuによるスキャン) | GET /phpmyadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
6. | phpMyAdminの探査(ZmEuによるスキャン) | GET /pma/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
7. | phpMyAdminの探査(ZmEuによるスキャン) | GET /myadmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
8. | phpMyAdminの探査(ZmEuによるスキャン) | GET /MyAdmin/scripts/setup.php HTTP/1.1 | 1 | - | 0 | +1 |
9. | WordPressのログインページの探査 | GET /wp/wp-login.php HTTP/1.1 | 1 | - | 0 | +1 |
10. | WordPressのユーザ名の探査 | GET /wp//?author=1 HTTP/1.1 | 1 | - | 0 | +1 |
11. | WordPress REST APIを用いたWordPressのユーザ名の探査 | GET /wp//wp-json/wp/v2/users/ HTTP/1.1 | 1 | - | 0 | +1 |
12. | WordPressのログインページの探査 | GET /site/wp-login.php HTTP/1.1 | 1 | - | 0 | +1 |
13. | WordPressのユーザ名の探査 | GET /site//?author=1 HTTP/1.1 | 1 | - | 0 | +1 |
14. | WordPress REST APIを用いたWordPressのユーザ名の探査 | GET /site//wp-json/wp/v2/users/ HTTP/1.1 | 1 | - | 0 | +1 |
15. | トップページへのアクセス | GET / HTTP/1.0 | 1 | 29. | 5 | -4 |
16. | WebShellの探査 | GET /acadmin.php HTTP/1.1 | 1 | - | 0 | +1 |
17. | phpMyAdminの探査(ZmEuによるスキャン以外) | GET /mysql/admin/index.php?lang=en HTTP/1.1 | 1 | - | 0 | +1 |
18. | ThinkPHPの探査 | GET /TP/public/index.php HTTP/1.1 | 1 | 50. | 1 | +-0 |
19. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 HTTP/1.1 | 1 | 51. | 1 | +-0 |
20. | ThinkPHPの脆弱性を利用した攻撃(参照) | POST /TP/public/index.php?s=captcha HTTP/1.1 | 1 | 52. | 1 | +-0 |
21. | robots.txtの探査 | HEAD /robots.txt HTTP/1.0 | 1 | 33. | 1 | +-0 |
22. | トップページへのアクセス | OPTIONS / HTTP/1.1 | 1 | - | 0 | +1 |
23. | オープンプロキシの探査 | CONNECT www[.]baidu[.]com HTTP/1.1 | 1 | - | 0 | +1 |
24. | オープンプロキシの探査 | GET hxxp://api[.]ipify[.]org/ HTTP/1.1 | 1 | - | 0 | +1 |
25. | オープンプロキシの探査 | GET hxxp://www[.]ip[.]cn/ HTTP/1.1 | 1 | - | 0 | +1 |
26. | オープンプロキシの探査 | GET hxxp://boxun[.]com/ HTTP/1.1 | 1 | - | 0 | +1 |
27. | オープンプロキシの探査 | CONNECT cn[.]bing[.]com:443 HTTP/1.1 | 1 | - | 0 | +1 |
28. | オープンプロキシの探査 | GET hxxp://www[.]123cha[.]com/ HTTP/1.1 | 1 | - | 0 | +1 |
29. | Adobe ColdFusionの探査 | GET /CFIDE/administrator/ HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。