sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/12)

2020/4/13のハニーポットの簡易分析となります。

<Honeytrap>

Local Port Top 10
LocalPort,Count
1433,63481 件
445,1338 件
3389,500 件
1027,98 件
20000,95 件
465,94 件
5051,94 件
55553,80 件
853,80 件
6000,79 件

Remote IP Top 10
RemoteIP,Count
45[.]120[.]224[.]52,20636 件
117[.]29[.]46[.]95,12446 件
185[.]202[.]1[.]19,11041 件
125[.]224[.]167[.]227,7993 件
94[.]142[.]56[.]98,4696 件
207[.]70[.]150[.]246,3003 件
177[.]23[.]200[.]187,3002 件
152[.]245[.]133[.]141,3002 件
187[.]159[.]37[.]115,3000 件
190[.]75[.]76[.]207,2991 件

Malware
Malware,Count
No Malware,82443 件
hxxp://d[.]powerofwish[.]com/pm[.]sh,7 件
hxxp://176[.]123[.]3[.]96/arm7,7 件
hxxp://51[.]178[.]81[.]75/mips,4 件
hxxp://19ce033f[.]ngrok[.]io/arm7,3 件
hxxp://45[.]9[.]148[.]102/bins/mpsl,2 件
hxxp://192[.]3[.]45[.]185/arm7,2 件
hxxp://38[.]117[.]65[.]124/mips,2 件
hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh,2 件
hxxp://146[.]71[.]79[.]230/363A3EDC10A2930DVNICE/init[.]sh,1 件
hxxp://178[.]32[.]148[.]5/arm7,1 件
hxxp://174[.]128[.]226[.]101/yakuza[.]mips,1 件
hxxp://45[.]9[.]148[.]102/bins/enigma[.]arm7,1 件


WoWHoneypot

URI Path
URI PATH,Count
/manager/html,Target:Tomcat,280 件
/,Target:-,41 件
/admin/assets/js/views/login[.]js,Target:FreePBX,8 件
/public/index[.]php,Target:-,8 件
/TP/public/index[.]php,Target:-,6 件
/cgi-bin/mainfunction[.]cgi,Target:DrayTek,3 件
/public/index[.]php/,Target:-,3 件
/HNAP1/,Target:Linksys Router,2 件
/login[.]action,Target:Login Page,2 件
/public/spread[.]php,Target: new,2 件
/robots[.]txt,Target:robots[.]txt,1 件
/sitemap[.]xml,Target:XML sitemap,1 件
/[.]well-known/security[.]txt,Target:Hidden files,1 件
/favicon[.]ico,Target:favicon,1 件
/portal/redlion,Target: new,1 件
hxxp://123[.]125[.]114[.]144/,Target:Unauthorized relay,1 件
cn[.]bing[.]com:443,Target:Unauthorized relay,1 件
www[.]baidu[.]com:443,Target:Unauthorized relay,1 件
www[.]ipip[.]net:443,Target:Unauthorized relay,1 件
hxxp://58[.]22[.]120[.]15:28081/shx_691/callForErrByName[.]action,Target:Unauthorized relay,1 件
/index[.]action,Target:Apache Struts 2,1 件
/phpmyadmin/index[.]php,Target:-,1 件
/index[.]php,Target:-,1 件Remote IP

Top 10
RemoteIP,Count
125[.]35[.]84[.]114,280 件
119[.]129[.]118[.]46,18 件
77[.]247[.]108[.]119,8 件
71[.]6[.]199[.]23,5 件
129[.]204[.]110[.]219,4 件
62[.]210[.]116[.]151,4 件
47[.]94[.]171[.]138,4 件
46[.]101[.]171[.]183,3 件
167[.]99[.]40[.]21,3 件
171[.]11[.]231[.]56,2 件

NEW Path
/live/CPEManager/AXCampaignManager/delete_cpes_by_ids
→ Zyxel CNM SecuManager の脆弱性

 

WoWhoneypot(SSL)
URI Path
URI PATH,Count
/admin/assets/js/views/login[.]js,Target:FreePBX,8 件
/,Target:-,6 件
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin[.]php,Target:PHPUnit,2 件
/index[.]php,Target:-,1 件Remote IP Top 10

RemoteIP,Count
77[.]247[.]108[.]119,8 件
5[.]101[.]0[.]209,4 件
192[.]241[.]237[.]204,1 件
195[.]142[.]115[.]111,1 件
74[.]82[.]47[.]5,1 件
164[.]52[.]24[.]162,1 件
128[.]14[.]134[.]170,1 件

 

 以上となります。