【ハニーポット簡易分析】Honeypot簡易分析(2020/4/15)
ブラジルからTomcatへのログイン試行を検知していました。
Port(TOP20)
- Honeytrap
| Port | Count |
|---|---|
| 1433 | 84438 件 |
| 445 | 1955 件 |
| 3389 | 145 件 |
| 81 | 95 件 |
| 7100 | 94 件 |
| 8181 | 86 件 |
| 8040 | 80 件 |
| 52869 | 79 件 |
| 8080 | 78 件 |
| 7000 | 57 件 |
| 8009 | 44 件 |
| 8081 | 39 件 |
| 8041 | 39 件 |
| 8443 | 37 件 |
| 8083 | 36 件 |
| 1080 | 34 件 |
| 587 | 33 件 |
| 7072 | 33 件 |
| 465 | 31 件 |
| 563 | 30 件 |
IP(TOP20)
01 Honeytrap
| IP | Country | Count |
|---|---|---|
| 219[.]159[.]78[.]215 | China | 22738 件 |
| 185[.]202[.]1[.]19 | France | 11060 件 |
| 177[.]124[.]38[.]83 | Brazil | 3010 件 |
| 90[.]110[.]6[.]111 | France | 3004 件 |
| 113[.]170[.]160[.]195 | Vietnam | 3004 件 |
| 113[.]23[.]137[.]112 | Malaysia | 3004 件 |
| 37[.]146[.]235[.]212 | Russia | 3001 件 |
| 177[.]222[.]146[.]75 | Brazil | 3000 件 |
| 218[.]6[.]242[.]62 | China | 3000 件 |
| 14[.]188[.]103[.]163 | Vietnam | 3000 件 |
| 202[.]137[.]141[.]45 | Laos | 2999 件 |
| 49[.]176[.]212[.]31 | Australia | 2999 件 |
| 175[.]101[.]60[.]173 | India | 2999 件 |
| 182[.]160[.]36[.]40 | Mongolia | 2995 件 |
| 180[.]245[.]76[.]137 | Indonesia | 2987 件 |
| 123[.]161[.]133[.]17 | China | 2589 件 |
| 176[.]100[.]188[.]94 | Ukraine | 2455 件 |
| 181[.]57[.]206[.]106 | Colombia | 2383 件 |
| 201[.]229[.]185[.]115 | Dominican Republic | 2153 件 |
| 193[.]106[.]31[.]106 | Ukraine | 2126 件 |
02 WOWHoneypot
| IP | Country | Count |
|---|---|---|
| 179[.]189[.]124[.]7 | Brazil | 168 件 |
| 77[.]247[.]108[.]119 | Estonia | 8 件 |
| 45[.]14[.]224[.]22 | Netherlands | 7 件 |
| 35[.]223[.]108[.]174 | United States | 6 件 |
| 222[.]229[.]223[.]149 | Japan | 2 件 |
| 91[.]104[.]127[.]184 | Hungary | 1 件 |
| 222[.]252[.]11[.]127 | Vietnam | 1 件 |
| 151[.]233[.]190[.]245 | Iran | 1 件 |
| 159[.]255[.]187[.]36 | Poland | 1 件 |
| 94[.]41[.]65[.]16 | Russia | 1 件 |
| 78[.]218[.]8[.]165 | France | 1 件 |
| 77[.]247[.]109[.]5 | Estonia | 1 件 |
| 162[.]243[.]134[.]4 | United States | 1 件 |
| 195[.]142[.]115[.]111 | Turkey | 1 件 |
| 103[.]249[.]180[.]5 | India | 1 件 |
| 173[.]68[.]147[.]70 | United States | 1 件 |
| 5[.]188[.]210[.]101 | Russia | 1 件 |
| 128[.]14[.]134[.]134 | United States | 1 件 |
| 71[.]6[.]232[.]4 | United States | 1 件 |
| 45[.]227[.]159[.]145 | Brazil | 1 件 |
03 WOWHoneypot(SSL)
| IP | Country | Count |
|---|---|---|
| 179[.]189[.]124[.]7 | Brazil | 168 件 |
| 77[.]247[.]108[.]119 | Estonia | 8 件 |
| 45[.]14[.]224[.]22 | Netherlands | 7 件 |
| 35[.]223[.]108[.]174 | United States | 6 件 |
| 222[.]229[.]223[.]149 | Japan | 2 件 |
| 91[.]104[.]127[.]184 | Hungary | 1 件 |
| 222[.]252[.]11[.]127 | Vietnam | 1 件 |
| 151[.]233[.]190[.]245 | Iran | 1 件 |
| 159[.]255[.]187[.]36 | Poland | 1 件 |
| 94[.]41[.]65[.]16 | Russia | 1 件 |
| 78[.]218[.]8[.]165 | France | 1 件 |
| 77[.]247[.]109[.]5 | Estonia | 1 件 |
| 162[.]243[.]134[.]4 | United States | 1 件 |
| 195[.]142[.]115[.]111 | Turkey | 1 件 |
| 103[.]249[.]180[.]5 | India | 1 件 |
| 173[.]68[.]147[.]70 | United States | 1 件 |
| 5[.]188[.]210[.]101 | Russia | 1 件 |
| 128[.]14[.]134[.]134 | United States | 1 件 |
| 71[.]6[.]232[.]4 | United States | 1 件 |
| 45[.]227[.]159[.]145 | Brazil | 1 件 |
URI Path
01 Honeytrap
| URI Path | Target | CVE | Count |
|---|---|---|---|
| No uri path | - | - | 105305 件 |
| / | - | - | 319 件 |
| /picsdesc[.]xml | Realtek SDK | CVE-2014-8361 | 76 件 |
| /asdasdasd | liangjing | - | 52 件 |
| /login[.]action | Login Page | - | 47 件 |
| /phpMyAdmin/scripts/setup[.]php | phpMyAdmin | - | 47 件 |
| /horde/imp/test[.]php | liangjing | - | 46 件 |
| /login | Login Page | - | 46 件 |
| /console | liangjing | - | 46 件 |
| /cgi-bin/test-cgi | CGI | - | 46 件 |
| login[.]cgi | D-Link Router | - | 26 件 |
| hxxp://112[.]35[.]63[.]31:8088/index[.]php | - | - | 18 件 |
| /ctrlt/DeviceUpgrade_1 | Huawei Home Device | - | 17 件 |
| hxxp://112[.]35[.]53[.]83:8088/index[.]php | - | - | 15 件 |
| /nice | - | - | 13 件 |
| sip:nm | Session Initiation Protocol | - | 12 件 |
| hxxp://51[.]144[.]0[.]117/pass | Unauthorized relay | - | 12 件 |
| /shell | MVPower DVR | - | 11 件 |
| /cgi | CGI | - | 9 件 |
| hxxp://112[.]35[.]66[.]7:8088/index[.]php | - | - | 9 件 |
| hxxp://clientapi[.]ipip[.]net/echo[.]php | Unauthorized relay | - | 7 件 |
| hxxp://112[.]35[.]88[.]28:8088/index[.]php | - | - | 5 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 4 件 |
| /version | - | - | 4 件 |
| /jmx | JMX | - | 3 件 |
| /wanicpn[.]xml | liangjing | - | 3 件 |
| hxxp://5[.]188[.]210[.]101/echo[.]php | Unauthorized relay | - | 2 件 |
| /api/v1/a/ | api | - | 2 件 |
| /jars | Unknown | - | 2 件 |
| /service/extdirect | Sonatype Nexus Repository Manager | CVE-2019-7238 | 2 件 |
| hxxp://112[.]124[.]42[.]80:63435/ | Unauthorized relay | - | 2 件 |
| /hazelcast/rest/cluster | Open-Xchange AppSuite | CVE-2013-5936 | 2 件 |
| SERVER | New | - | 2 件 |
| /api | api | - | 2 件 |
| /_cat/indices | Elasticsearch | - | 1 件 |
| /manager/html | Tomcat | - | 1 件 |
| /solr/admin/info/system | Apache Solr | - | 1 件 |
| hxxp://123[.]125[.]114[.]144/ | Unauthorized relay | - | 1 件 |
| /v1[.]16/version | - | - | 1 件 |
| hxxp://example[.]com/ | Unauthorized relay | - | 1 件 |
| /_search | Elasticsearch | - | 1 件 |
| /hudson | Unknown | - | 1 件 |
| /login[.]gch | Login Page | - | 1 件 |
| /ipp | liangjing | - | 1 件 |
| rtsp://160[.]16[.]145[.]183:10554/ | New | - | 1 件 |
| /tmUnblock[.]cgi | liangjing | - | 1 件 |
| /info | - | - | 1 件 |
| /esps/ | liangjing | - | 1 件 |
| /stats | - | - | 1 件 |
| /db/manage/ | Database | - | 1 件 |
02 WOWHoneypot
| URI Path | Target | CVE | Count |
|---|---|---|---|
| /manager/html | Tomcat | - | 169 件 |
| / | - | - | 20 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 8 件 |
| /phpmyadmin/ | phpMyAdmin | - | 1 件 |
| /boaform/admin/formPing | Administrator | - | 1 件 |
| /cgi | CGI | - | 1 件 |
| /w00tw00t[.]at[.]blackhats[.]romanian[.]anti-sec:) | ZmEu | - | 1 件 |
| /phpMyAdmin/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
| /phpmyadmin/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
| /pma/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
| /myadmin/scripts/setup[.]php | Administrator | - | 1 件 |
| /MyAdmin/scripts/setup[.]php | Administrator | - | 1 件 |
| /api/v1/a/ | api | - | 1 件 |
| /cgi-bin/mainfunction[.]cgi | DrayTek | CVE-2020-8515 | 1 件 |
| hxxp://5[.]188[.]210[.]101/echo[.]php | Unauthorized relay | - | 1 件 |
| /muieblackcat | Muieblackcat(scan tool) | - | 1 件 |
| //phpMyAdmin/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
| //phpmyadmin/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
| //pma/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
| //myadmin/scripts/setup[.]php | Administrator | - | 1 件 |
| //MyAdmin/scripts/setup[.]php | Administrator | - | 1 件 |
| //PhpMyAdmin/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
| /hudson | Unknown | - | 1 件 |
| /shell | MVPower DVR | - | 1 件 |
| /portal/redlion | Unknown | - | 1 件 |
| hxxp://112[.]35[.]63[.]31:8088/index[.]php | - | - | 1 件 |
03 WOWHoneypot(SSL)
| URI Path | Target | CVE | Count |
|---|---|---|---|
| / | - | - | 15 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 7 件 |
| /login | Login Page | - | 5 件 |
| /login[.]action | Login Page | - | 4 件 |
| /phpMyAdmin/scripts/setup[.]php | phpMyAdmin | - | 4 件 |
| /horde/imp/test[.]php | liangjing | - | 4 件 |
| /console | liangjing | - | 4 件 |
| /cgi-bin/test-cgi | CGI | - | 4 件 |
| /asdasdasd | liangjing | - | 3 件 |
| /api/v1 | api | - | 1 件 |
Malware
- Honeytrap
| Malware | Count |
|---|---|
| No Malware | 106181 件 |
| hxxp://51[.]178[.]81[.]75/mips | 13 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 11 件 |
| hxxp://37[.]49[.]226[.]142/infect | 10 件 |
| hxxp://176[.]123[.]3[.]96/arm7 | 4 件 |
| hxxp://178[.]32[.]148[.]5/arm7 | 3 件 |
| hxxp://185[.]225[.]19[.]200/RHOMBUS[.]mips | 2 件 |
| hxxp://23[.]95[.]89[.]71/infect | 1 件 |
| hxxp://19ce033f[.]ngrok[.]io/arm7 | 1 件 |
| hxxp://45[.]61[.]136[.]31/lunbotshell[.]sh | 1 件 |
| hxxp://192[.]3[.]45[.]185/arm7 | 1 件 |
| hxxp://45[.]9[.]148[.]102/bins/mpsl | 1 件 |
| hxxp://45[.]61[.]136[.]130:1691/amnsbdmsh[.]sh | 1 件 |
