cute_otter’s blog

ハニーポットの観察日記を付けています

ハニーポット観察日記(2019/04/01)

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/04/01 (月) 00:00~23:59 UTC(運用88日目)に取得したログの簡易分析です。

WordPressのログインページに対するログイン試行はありませんでした。一方でWordPressのユーザ名の探査がありました。

概況

  • 集計期間 : 2019/04/01 (月) 00:00~23:59 UTC
  • 総アクセス件数 : 55 件(前日比 -2,267 件)
    • トップページへのアクセス : 24 件
    • robots.txtの探査 : 1 件
    • WordPress関連 : 6 件
    • ThinkPHP関連 : 3 件
      • ThinkPHPの探査 : 1 件
      • ThinkPHPの脆弱性を利用した攻撃(参照) : 2 件
    • ZmEuによるスキャン : 6 件
      • ZmEuによるスキャンの開始の合図 : 1 件
      • phpMyAdminの探査
    • Tomcatの管理ページに対するログイン試行 : 6 件
    • WebShellの探査 : 1 件
    • phpMyAdminの探査(ZmEuによるスキャン以外) : 1 件
    • Adobe ColdFusionの探査 : 1 件
    • オープンプロキシの探査 : 6 件
  • ユニークIPアドレス件数 : 37 件 (前日比 -214 件)
  • アクセス元の国数 : 18 カ国 (前日比 -16 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. China 18 7. 85 -67 -
2. United States 9 1. 717 -708 -
3. Brazil 6 28. 5 +1 -
4. Vietnam 4 10. 42 -38 -
5. France 3 3. 279 -276 -
6. Ireland 2 - 0 +2 -
7. Thailand 2 17. 18 -16 -
8. None 1 11. 27 -26 -
9. Italy 1 23. 9 -8 -
10. Japan 1 12. 27 -26 -
11. Australia 1 15. 24 -23 -
12. Germany 1 6. 113 -112 -
13. St Kitts and Nevis 1 - 0 +1 -
14. Poland 1 21. 12 -11 -
15. Colombia 1 24. 9 -8 -
16. Russia 1 18. 15 -14 -
17. Indonesia 1 - 0 +1 -
18. India 1 5. 118 -117 -

アクセス先

  • 今日はWordPressのログインページに対するログイン試行は0件でしたが、WordPressのログインページの探査WordPressのユーザ名の探査WordPress REST APIを用いたWordPressのユーザ名の探査がセットとなったアクセスが2件ありました。
    • 2個のIPアドレスから1セットずつアクセスがありました。

アクセス先一覧

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 22 28. 15 +7
2. Tomcatの管理ページに対するログイン試行 GET /manager/html HTTP/1.1 6 - 0 +6
3. ZmEuによるスキャンの開始の合図 GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1 1 - 0 +1
4. phpMyAdminの探査(ZmEuによるスキャン) GET /phpMyAdmin/scripts/setup.php HTTP/1.1 1 - 0 +1
5. phpMyAdminの探査(ZmEuによるスキャン) GET /phpmyadmin/scripts/setup.php HTTP/1.1 1 - 0 +1
6. phpMyAdminの探査(ZmEuによるスキャン) GET /pma/scripts/setup.php HTTP/1.1 1 - 0 +1
7. phpMyAdminの探査(ZmEuによるスキャン) GET /myadmin/scripts/setup.php HTTP/1.1 1 - 0 +1
8. phpMyAdminの探査(ZmEuによるスキャン) GET /MyAdmin/scripts/setup.php HTTP/1.1 1 - 0 +1
9. WordPressのログインページの探査 GET /wp/wp-login.php HTTP/1.1 1 - 0 +1
10. WordPressのユーザ名の探査 GET /wp//?author=1 HTTP/1.1 1 - 0 +1
11. WordPress REST APIを用いたWordPressのユーザ名の探査 GET /wp//wp-json/wp/v2/users/ HTTP/1.1 1 - 0 +1
12. WordPressのログインページの探査 GET /site/wp-login.php HTTP/1.1 1 - 0 +1
13. WordPressのユーザ名の探査 GET /site//?author=1 HTTP/1.1 1 - 0 +1
14. WordPress REST APIを用いたWordPressのユーザ名の探査 GET /site//wp-json/wp/v2/users/ HTTP/1.1 1 - 0 +1
15. トップページへのアクセス GET / HTTP/1.0 1 29. 5 -4
16. WebShellの探査 GET /acadmin.php HTTP/1.1 1 - 0 +1
17. phpMyAdminの探査(ZmEuによるスキャン以外) GET /mysql/admin/index.php?lang=en HTTP/1.1 1 - 0 +1
18. ThinkPHPの探査 GET /TP/public/index.php HTTP/1.1 1 50. 1 +-0
19. ThinkPHPの脆弱性を利用した攻撃(参照) GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 HTTP/1.1 1 51. 1 +-0
20. ThinkPHPの脆弱性を利用した攻撃(参照) POST /TP/public/index.php?s=captcha HTTP/1.1 1 52. 1 +-0
21. robots.txtの探査 HEAD /robots.txt HTTP/1.0 1 33. 1 +-0
22. トップページへのアクセス OPTIONS / HTTP/1.1 1 - 0 +1
23. オープンプロキシの探査 CONNECT www[.]baidu[.]com HTTP/1.1 1 - 0 +1
24. オープンプロキシの探査 GET hxxp://api[.]ipify[.]org/ HTTP/1.1 1 - 0 +1
25. オープンプロキシの探査 GET hxxp://www[.]ip[.]cn/ HTTP/1.1 1 - 0 +1
26. オープンプロキシの探査 GET hxxp://boxun[.]com/ HTTP/1.1 1 - 0 +1
27. オープンプロキシの探査 CONNECT cn[.]bing[.]com:443 HTTP/1.1 1 - 0 +1
28. オープンプロキシの探査 GET hxxp://www[.]123cha[.]com/ HTTP/1.1 1 - 0 +1
29. Adobe ColdFusionの探査 GET /CFIDE/administrator/ HTTP/1.1 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。