【ハニーポット簡易分析】Honeypot簡易分析(318日目:7/1)
Honeypot簡易分析(318日目:7/1)となります。
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
445 | smb | 3882 | 347 |
23 | telnet | 1593 | 166 |
5900 | vnc | 525 | -4465 |
3306 | mysql | 315 | 100 |
3389 | rdp | 137 | -139 |
2323 | telnet | 111 | 29 |
5555 | personal-agent | 104 | 73 |
3307 | opsession-prxy | 101 | 69 |
7610 | Unknown | 100 | 96 |
789 | Unknown | 96 | 95 |
<新規マルウェアダウンロード>
malware | payload(例) |
hxxp:/\/178[.]33[.]181[.]23/infect | GET /shell |
hxxp://185[.]244[.]25[.]24/k | CNXN |
89[.]34[.]26[.]202 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
104[.]248[.]93[.]159 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
hxxp://168[.]235[.]89[.]216/IDJAPbins[.]sh | POST /picsdesc.xml HTTP/1.1 |
hxxp:/\/185[.]244[.]25[.]171/bins/Jaws[.]sh | GET /shell |
IoT系のマルウェアがほとんどでした。
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
path | target | CVE | reference | count |
/wp/wp-login.php | WordPress | - | - | 389 |
/forum/wp-login.php | WordPress | - | - | 380 |
/wordpress/wp-login.php | WordPress | - | - | 380 |
/forum/xmlrpc.php | WordPress | - | - | 161 |
/wordpress/xmlrpc.php | WordPress | - | - | 158 |
/wp/xmlrpc.php | WordPress | - | - | 158 |
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 24 |
/ | - | - | - | 22 |
/Login.htm | - | - | - | 2 |
/blog// | WordPress | - | - | 1 |
/blog//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
/blog/wp-login.php | WordPress | - | - | 1 |
/forum// | WordPress | - | - | 1 |
/forum//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
/robots.txt | - | - | - | 1 |
/shell | Webshell | - | - | 1 |
/test// | WordPress | - | - | 1 |
/test//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
/test/wp-login.php | WordPress | - | - | 1 |
/wordpress// | WordPress | - | - | 1 |
/wordpress//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
<マルウェアダウンロード>
なし
以上となります。