S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2019/02/20)

ハニーポットのログ分析(2019/02/20)

honeypot

WOWhoneypotの2019/02/20(水) (運用259日目)の簡易分析です。
本日の総アクセス件数は76件です。送信元IP数は57IPです。
本日の主なアクセスは以下です。

・HordeIMPの脆弱性を狙った調査:21件
・ThinkPHPの脆弱性を突いた攻撃:3件

特記事項として、NOTICEの調査に使用するアドレス帯(153.231.227.192/29)から以下のアクセスがありました。80/tcpのみを開けているため、1件のみのアクセスです。

GET / HTTP/1.1
User-Agent: Mozilla/5.0 zgrab/0.x
Accept: */*
Accept-Encoding: gzip

IoTのバナーを返すようにはしていないため、特定アクセス行為に使用するアドレス帯ではなく、調査に使用するアドレス帯からのみで特定アクセス行為は行われていないと思われます。

(参考)NOTICE

IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新) | NICT-情報通信研究機構

 

 

本日のドメイン名でのアクセスは以下です。

3 GET /
1 GET /robots.txt
1 GET /images/

本日のハンティングログはありません。


以下が全アクセスログです。

件数 日付 種別 リクエス
37 2019/2/20 アクセス GET /
7 2019/2/20 HordeIMPの脆弱性を狙った調査 GET /imp/test.php
7 2019/2/20 HordeIMPの脆弱性を狙った調査 GET /horde/imp/test.php
7 2019/2/20 HordeIMPの脆弱性を狙った調査 GET /horde3/imp/test.php
2 2019/2/20 不正中継の調査 CONNECT 133.130.126.119:43
1 2019/2/20 ThinkPHPの脆弱性を突いた攻撃 POST /TP/public/index.php?s=captcha
1 2019/2/20 GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 POST /GponForm/diag_Form?style/
1 2019/2/20 調査 OPTIONS /
1 2019/2/20 不正中継の調査 HEAD hxxp://112.124.42.80:63435/
1 2019/2/20 ThinkPHPの脆弱性を突いた攻撃 GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars0]=phpinfo&vars1]]=1
1 2019/2/20 ThinkPHPの脆弱性を突いた攻撃 GET /TP/public/index.php
1 2019/2/20 Apache Mod_Statusモジュール利用の調査 GET /server-status
1 2019/2/20 クローリング GET /robots.txt
1 2019/2/20 phpMyAdminの調査 GET /mysql/admin/index.php?lang=en
1 2019/2/20 画像フォルダの調査 GET /images/
1 2019/2/20 不正中継の調査 GET hxxp://www.ip.cn/
1 2019/2/20 不正中継の調査 GET hxxp://www.123cha.com/
1 2019/2/20 不正中継の調査 GET hxxp://api.ipify.org/
1 2019/2/20 phpのWebShell設置の調査 GET /acadmin.php
1 2019/2/20 不正中継の調査 CONNECT www.baidu.com:443
1 2019/2/20 不正中継の調査 CONNECT cn.bing.com:443

以上です。