ハニーポットのログ分析まとめ（2019年01月度）

2019年01月度のWOWHoneypotのログ分析まとめです。
※先月分：ハニーポットのログ分析まとめ（2018年12月度） - S-Owl

＜前提＞
以前はプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測していま、した。
今は目的については再検討中です。

■スペック
台数：1台
ソフトウェア：WOWHoneypot
対象ポート：80/tcp
設置IP：日本のIP
ドメイン：10月取得済、未公開
運用：2018/6/5から開始

■日次のアクセス数
1ヶ月間の総アクセス数：20,034件 (前月:19,873件)

f:id:Sec-Owl:20190402133734p:plain

■アクセスパス
1ヶ月間のメソッド+パスの種類は計627種類（前月:661種類）でした。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したリストのTop10は以下です。(通常アクセス除く)

f:id:Sec-Owl:20190223175453p:plain

なお、アクセスパスのtop20は以下です。

順位	種別	リクエスト	件数
1	Tomcat管理ページへのブルートフォース攻撃	GET /manager/html	6019
2	アクセス	GET /	832
3	GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃	POST /GponForm/diag_Form?style/	289
4	Apache Struts2の脆弱性S2-045（CVE-2017-5638）を突く攻撃	GET /index.action	192
5	phpのWebShell設置の調査	POST /confg.php	134
6	phpのWebShell設置の調査	POST /qq.php	132
7	phpのWebShell設置の調査	POST /1.php	117
8	phpのWebShell設置の調査	POST /test.php	88
9	phpMyAdminの調査	GET /phpMyAdmin/phpMyAdmin/index.php	87
10	phpMyAdminの調査	GET /tools/phpMyAdmin/index.php	85
11	phpのWebShell設置の調査	POST /conflg.php	85
12	phpMyAdminの調査	GET /admin/phpMyAdmin/index.php	83
13	phpMyAdminの調査	GET /claroline/phpMyAdmin/index.php	82
14	phpのWebShell設置の調査	GET /cmd.php	82
15	phpMyAdminの調査	GET /phpMyAdmin/index.php	81
16	phpのWebShell設置の調査	GET /shell.php	81
17	phpのWebShell設置の調査	POST /q.php	79
18	phpMyAdminの調査	GET /web/phpMyAdmin/index.php	76
19	phpのWebShell設置の調査	POST /s.php	76
20	phpMyAdminの調査	GET /www/phpMyAdmin/index.php	73

■送信元IP
送信元IPは1173件(前月:1049件)です。
アクセスがあったIPを地図にマッピングすると以下になります。

f:id:Sec-Owl:20190402133758p:plain

このうち、日本にポイントされているものですが、GPONの脆弱性を調査するものだったため、ウイルス感染の可能性あり、としてISPのAbuse窓口宛に連絡しています。

■ドメイン名でのアクセス
10月から取得しているドメイン名に対してのアクセスです。取得はしていますが、特段公開等はしていないものです。
前月同様WordPress関連が多いです。