ハニーポットのログ分析まとめ(2019年02月度)
2019年02月度のWOWHoneypotのログ分析まとめです。
※先月分: ハニーポットのログ分析まとめ(2019年01月度) - S-Owl
<前提>
以前はプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測していま、した。
今は目的については再検討中です。
■スペック
台数:1台
ソフトウェア:WOWHoneypot
対象ポート:80/tcp
設置IP:日本のIP
ドメイン:10月取得済、未公開
運用:2018/6/5から開始
■日次のアクセス数
1ヶ月間の総アクセス数:8,479件 (前月:20,034件)
全体の件数は前月対比減っています。
■アクセスパス
1ヶ月間のメソッド+パスの種類は計627種類(前月:661種類)でした。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したリストのTop10は以下です。(通常アクセス除く)
なお、アクセスパスのtop20は以下です。
| 順位 | アクセス | 種別 | 件数 |
| 1 | GET / | アクセス | 849 |
| 2 | GET /manager/html | Tomcat管理ページへのブルートフォース攻撃 | 216 |
| 3 | POST /1.php | phpのWebShell設置の調査 | 89 |
| 4 | POST /qq.php | phpのWebShell設置の調査 | 80 |
| 5 | POST /confg.php | phpのWebShell設置の調査 | 76 |
| 6 | POST /GponForm/diag_Form?style/ | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | 65 |
| 7 | POST /x.php | phpのWebShell設置の調査 | 59 |
| 8 | POST /q.php | phpのWebShell設置の調査 | 55 |
| 9 | POST /test.php | phpのWebShell設置の調査 | 51 |
| 10 | POST /xx.php | phpのWebShell設置の調査 | 45 |
| 11 | POST /conflg.php | phpのWebShell設置の調査 | 44 |
| 12 | GET /shell.php | phpのWebShell設置の調査 | 44 |
| 13 | GET /tools/phpMyAdmin/index.php | phpMyAdminの調査 | 43 |
| 14 | GET /robots.txt | クローリング | 43 |
| 15 | GET /phpMyAdmin/phpMyAdmin/index.php | phpMyAdminの調査 | 43 |
| 16 | GET /cmd.php | phpのWebShell設置の調査 | 43 |
| 17 | GET /www/phpMyAdmin/index.php | phpMyAdminの調査 | 42 |
| 18 | GET /web/phpMyAdmin/index.php | phpMyAdminの調査 | 42 |
| 19 | GET /claroline/phpMyAdmin/index.php | phpMyAdminの調査 | 42 |
| 20 | POST /s.php | phpのWebShell設置の調査 | 41 |
■送信元IP
送信元IPは955件(前月:1,173件)です。
アクセスがあったIPを地図にマッピングすると以下になります。
■ドメイン名でのアクセス
10月から取得しているドメイン名に対してのアクセスです。取得はしていますが、特段公開等はしていないものです。
| path | 件数 |
| / | 85 |
| /robots.txt | 36 |
| /wp-login.php | 4 |
| /images/ | 2 |
| /ads.txt | 1 |
| /cms/wp-admin/ | 1 |
| /sitemap.xml | 1 |
以上
