sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/14)

CMS系への通信を多数検知していました。

Port(TOP20)

  1. Honeytrap
Port Count
1433 121241 件
445 2130 件
5901 159 件
3389 144 件
2222 126 件
9527 71 件
8080 61 件
52869 53 件
81 51 件
8081 47 件
1234 44 件
5007 43 件
1089 39 件
5555 36 件
7000 32 件
8008 31 件
9002 30 件
8983 29 件
8009 27 件
8089 26 件

IP(TOP20)

01 Honeytrap

IP Country Count
193[.]106[.]29[.]218 Ukraine 21817 件
185[.]202[.]1[.]19 France 11165 件
219[.]159[.]78[.]215 China 7178 件
198[.]108[.]67[.]48 United States 5161 件
58[.]82[.]149[.]122 Thailand 3050 件
203[.]210[.]237[.]79 Vietnam 3005 件
81[.]215[.]211[.]113 Turkey 3004 件
14[.]231[.]254[.]24 Vietnam 3004 件
218[.]32[.]111[.]73 Taiwan 3004 件
190[.]210[.]104[.]41 Argentina 3003 件
218[.]75[.]43[.]218 China 3002 件
84[.]234[.]110[.]4 Ukraine 3002 件
131[.]100[.]65[.]219 Argentina 3002 件
111[.]26[.]213[.]11 China 3001 件
5[.]128[.]68[.]116 Russia 3001 件
201[.]77[.]129[.]175 Brazil 3000 件
190[.]4[.]193[.]186 Chile 3000 件
223[.]155[.]99[.]206 China 3000 件
14[.]210[.]82[.]102 China 2999 件
222[.]252[.]194[.]235 Vietnam 2998 件

02 WOWHoneypot

IP Country Count
65[.]52[.]177[.]120 Hong Kong 92 件
223[.]166[.]32[.]25 China 11 件
77[.]247[.]108[.]119 Estonia 8 件
80[.]82[.]68[.]70 Netherlands 3 件
171[.]67[.]70[.]85 United States 2 件
190[.]94[.]140[.]45 Ecuador 1 件
103[.]206[.]102[.]180 India 1 件
98[.]118[.]191[.]84 United States 1 件
82[.]79[.]223[.]50 Romania 1 件
51[.]254[.]59[.]113 France 1 件
162[.]243[.]128[.]120 United States 1 件
120[.]82[.]120[.]47 China 1 件
168[.]195[.]181[.]118 Brazil 1 件
92[.]112[.]31[.]157 Ukraine 1 件
173[.]249[.]51[.]194 Germany 1 件
41[.]220[.]238[.]138 Kenya 1 件
107[.]211[.]121[.]231 United States 1 件
45[.]56[.]103[.]186 United States 1 件
189[.]128[.]76[.]230 Mexico 1 件
82[.]77[.]112[.]108 Romania 1 件

03 WOWHoneypot(SSL)

IP Country Count
65[.]52[.]177[.]120 Hong Kong 92 件
223[.]166[.]32[.]25 China 11 件
77[.]247[.]108[.]119 Estonia 8 件
80[.]82[.]68[.]70 Netherlands 3 件
171[.]67[.]70[.]85 United States 2 件
190[.]94[.]140[.]45 Ecuador 1 件
103[.]206[.]102[.]180 India 1 件
98[.]118[.]191[.]84 United States 1 件
82[.]79[.]223[.]50 Romania 1 件
51[.]254[.]59[.]113 France 1 件
162[.]243[.]128[.]120 United States 1 件
120[.]82[.]120[.]47 China 1 件
168[.]195[.]181[.]118 Brazil 1 件
92[.]112[.]31[.]157 Ukraine 1 件
173[.]249[.]51[.]194 Germany 1 件
41[.]220[.]238[.]138 Kenya 1 件
107[.]211[.]121[.]231 United States 1 件
45[.]56[.]103[.]186 United States 1 件
189[.]128[.]76[.]230 Mexico 1 件
82[.]77[.]112[.]108 Romania 1 件

URI Path

01 Honeytrap

URI Path Target Count
No uri path - 167479 件
/ - 1849 件
/picsdesc[.]xml Realtek SDK 50 件
/login[.]action Login Page 38 件
/horde/imp/test[.]php liangjing 37 件
/cgi-bin/test-cgi CGI 37 件
/phpMyAdmin/scripts/setup[.]php phpMyAdmin 36 件
/login Login Page 36 件
/console liangjing 36 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device 20 件
login[.]cgi D-Link Router 14 件
/cgi CGI 10 件
hxxp://51[.]144[.]0[.]117/pass Unauthorized relay 9 件
/nice - 8 件
sip:nm Session Initiation Protocol 8 件
/jmx JMX 5 件
/\cgi-bin/get_status[.]cgi liangjing 5 件
/\cgi-bin/login[.]cgi liangjing 5 件
/admin/assets/js/views/login[.]js FreePBX 4 件
/manager/html Tomcat 4 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay 4 件
/login[.]gch Login Page 2 件
/service/extdirect Sonatype Nexus Repository Manager 2 件
/jars Unknown 2 件
/v1[.]16/version - 2 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay 2 件
/shell MVPower DVR 2 件
/manager/text/list Tomcat 1 件
/solr/admin/info/system Apache Solr 1 件
/_cat/indices Elasticsearch 1 件
/_search Elasticsearch 1 件
/tmUnblock[.]cgi liangjing 1 件
hxxp://example[.]com/ Unauthorized relay 1 件
/hudson Unknown 1 件
/admin-scripts[.]asp Administrator 1 件
[.][.]/[.][.]/proc/ proc directory 1 件
hxxp://chek[.]zennolab[.]com/proxy[.]php Unauthorized relay 1 件
hxxp://123[.]125[.]114[.]144/ Unauthorized relay 1 件
/ws/v1/cluster/apps/new-application Hadoop YARN ResourceManager 1 件
/info - 1 件
hxxp://5[.]188[.]210[.]101/echo[.]php Unauthorized relay 1 件
/stats - 1 件
/db/manage/ Database 1 件
RTSP://160[.]16[.]145[.]183:554/ New 1 件
hxxp://work[.]a-poster[.]info:25000/ Unauthorized relay 1 件

02 WOWHoneypot

URI Path Target Count
/ - 33 件
/admin/assets/js/views/login[.]js FreePBX 8 件
/setup[.]cgi DGN1000 Netgear Router 2 件
/cgi CGI 2 件
/u2upopup[.]js Discuz 2 件
/INSTALL Drupal 2 件
/[.]gitattributes Hidden files 2 件
/INSTALL[.]pgsql[.]txt SQL 2 件
/templates[.]cdb Discuz 2 件
/UPGRADE[.]txt Drupal 2 件
/README[.]txt Drupal 2 件
/INSTALL[.]sqlite[.]txt SQL 2 件
/[.]editorconfig Hidden files 2 件
/bbcode[.]js Discuz 2 件
/MAINTAINERS[.]txt Drupal 2 件
/INSTALL[.]txt Drupal 2 件
/example[.]gitignore Drupal 2 件
/MAINTAINERS Drupal 2 件
/CHANGELOG[.]txt Drupal 2 件
/[.]htaccess Hidden files 2 件
/robots[.]txt robots[.]txt 2 件
/manager/html Tomcat 1 件
/HNAP1/ Linksys Router 1 件
/sqlite/main[.]php SQL 1 件
/sqlitemanager/main[.]php SQL 1 件
/SQLiteManager/main[.]php SQL 1 件
/SQLite/main[.]php SQL 1 件
/SQlite/main[.]php SQL 1 件
/main[.]php liangjing 1 件
/test/sqlite/SQLiteManager-1[.]2[.]0/SQLiteManager-1[.]2[.]0/main[.]php SQL 1 件
/SQLiteManager-1[.]2[.]4/main[.]php SQL 1 件
/agSearch/SQlite/main[.]php SQL 1 件
/hudson Unknown 1 件
/uc_server/view/default/admin_frame_main[.]htm Administrator 1 件
/modules/legacy/legacy[.]info Drupal- 1 件
/templets/default/style/dedecms[.]css DedeCMS 1 件
/install/ AspCMS 1 件
/config/_notes/dwsync[.]xml AspCMS 1 件
/data/mytag/index[.]html DedeCMS 1 件
/sites/all/README[.]txt Drupal 1 件
/newsfader[.]js Discuz 1 件
/modules/user/user[.]info Drupal 1 件
/core/CHANGELOG[.]txt Drupal 1 件
/misc/ajax[.]js Drupal 1 件
/sites/all/modules/README[.]txt Drupal 1 件
/inc/_notes/dwsync[.]xml AspCMS 1 件
/scripts/test[.]script Drupal 1 件
/static/js/admincp[.]js Administrator 1 件
/themes/README[.]txt Drupal 1 件
/sites/README[.]txt Drupal 1 件
/special/index[.]html DedeCMS 1 件
/template/default/common/common[.]css Discuz 1 件
/dede/action/css_body[.]css DedeCMS 1 件
/fckeditor/fckconfig[.]js AspCMS 1 件
/mspace/default1/style[.]ini Discuz 1 件
/plug/comment[.]html AspCMS 1 件
/admin/left[.]htm Administrator 1 件
/modules/README[.]txt Drupal 1 件
/include/alert[.]htm DedeCMS 1 件
/data/admin/allowurl[.]txt Administrator 1 件
/themes/bartik/color/preview[.]js Drupal 1 件
/data/index[.]html DedeCMS 1 件
/plugins/manyou/discuz_plugin_manyou[.]xml Discuz 1 件
/sites/all/themes/README[.]txt Drupal 1 件
/plus/sitemap[.]html DedeCMS 1 件
/mspace/default/style[.]ini Discuz 1 件
/api/manyou/cloud_channel[.]htm api 1 件
/themes/tests/README[.]txt Drupal 1 件
/include/javascript/ajax[.]js Discuz 1 件
/member/js/box[.]js DedeCMS 1 件
/COPYRIGHT[.]txt Drupal 1 件
/data/js/index[.]html DedeCMS 1 件
/boke/Script/Dv_form[.]js Dvbbs 1 件
/source/plugin/myapp/discuz_plugin_myapp[.]xml Discuz 1 件
/INSTALL[.]mysql[.]txt MySQL 1 件
/gbook/_notes/dwsync[.]xml AspCMS 1 件
/dede/css_body[.]css DedeCMS 1 件
/dede/templets/article_coonepage_rule[.]htm DedeCMS 1 件
/Admin/images/admin[.]js Administrator 1 件
/admin/inc/admin[.]js Administrator 1 件
/images/admincp/admincp[.]js Administrator 1 件
/php/modpage/readme[.]txt php 1 件
/company/template/default/search_list[.]htm DedeCMS 1 件
/core/vendor/README[.]txt Drupal 1 件
/profiles/README[.]txt Drupal 1 件
/about/_notes/dwsync[.]xml AspCMS 1 件
/setup/license[.]html DedeCMS 1 件
/boke/CacheFile/System[.]config Dvbbs 1 件
/admin/Style/notes/dwsync[.]xml Administrator 1 件
/member/images/base[.]css DedeCMS 1 件
/favicon[.]ico favicon 1 件
/portal/redlion Unknown 1 件

03 WOWHoneypot(SSL)

URI Path Target Count
/ - 10 件
/admin/assets/js/views/login[.]js FreePBX 7 件
/dns-query liangjing 2 件
/login[.]action Login Page 2 件
/phpMyAdmin/scripts/setup[.]php phpMyAdmin 2 件
/horde/imp/test[.]php liangjing 2 件
/login Login Page 2 件
/console liangjing 2 件
/cgi-bin/test-cgi CGI 2 件
/vsphere-client/ liangjing 1 件
/folder/ liangjing 1 件
/ajax liangjing 1 件
/robots[.]txt robots[.]txt 1 件
/favicon[.]ico favicon 1 件
//a2billing/customer/templates/default/footer[.]tpl FreePBX 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 169691 件
hxxp://51[.]178[.]81[.]75/mips 10 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 7 件
hxxp://192[.]3[.]45[.]185/arm7 4 件
hxxp://176[.]123[.]3[.]96/arm7 3 件
hxxp://174[.]128[.]228[.]101/yakuza[.]mips 2 件
hxxp://19ce033f[.]ngrok[.]io/arm7 2 件
hxxp://37[.]49[.]226[.]142/infect 2 件
hxxp://45[.]32[.]214[.]217/bins/mpsl 1 件
hxxp://178[.]32[.]148[.]5/arm7 1 件
hxxp://185[.]172[.]110[.]224/wget 1 件