sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/19)

特に新たな脆弱性や気になるHTTPリクエストはなかったですが、フランスのIPからRDPへの通信を多数検知(11644件)。3389宛ではなく、複数ポートに対しての通信であったため、どこかのポートでRDPを利用していないか調査しているっぽいです。

Port(TOP20)

  1. Honeytrap
Port Service Count
1433 Microsoft-SQL-Server 603626 件
445 Microsoft-DS 1577 件
3390 Distributed Service Coordinator 179 件
3391 SAVANT 178 件
9527 Unknown 117 件
3389 MS WBT Server 84 件
5050 multimedia conference control tool 84 件
22 The Secure Shell (SSH) Protocol 82 件
37 Time 72 件
427 Server Location 71 件
7071 IWGADTS Aircraft Housekeeping Message 55 件
52869 Realtek SDK miniigd SOAP Service 50 件
8090 Vehicle to station messaging 42 件
554 Real Time Streaming Protocol (RTSP) 41 件
9051 Fusion-io Central Manager Service 40 件
138 NETBIOS Datagram Service 39 件
1110 Start web admin server 39 件
902 self documenting Telnet Door 39 件
2067 Data Link Switch Write Port Number 39 件
1604 icabrowser 39 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
103[.]107[.]188[.]174 China 54545 件 Link
118[.]69[.]40[.]251 Vietnam 50209 件 Link
80[.]251[.]145[.]16 Russia 46026 件 Link
180[.]166[.]90[.]181 China 40891 件 Link
117[.]25[.]182[.]50 China 37388 件 Link
78[.]186[.]173[.]61 Turkey 36104 件 Link
148[.]244[.]240[.]231 Mexico 34086 件 Link
14[.]175[.]167[.]143 Vietnam 32212 件 Link
85[.]100[.]124[.]175 Turkey 29789 件 Link
190[.]115[.]3[.]171 Guatemala 26811 件 Link
46[.]31[.]34[.]41 Poland 25943 件 Link
173[.]95[.]47[.]227 United States 21357 件 Link
212[.]77[.]151[.]229 Russia 20319 件 Link
80[.]69[.]180[.]108 Russia 19202 件 Link
93[.]81[.]205[.]42 Russia 18471 件 Link
109[.]69[.]30[.]140 Russia 18171 件 Link
179[.]157[.]67[.]122 Brazil 16457 件 Link
112[.]8[.]251[.]198 China 12819 件 Link
113[.]245[.]53[.]242 China 12562 件 Link
116[.]105[.]140[.]122 Vietnam 11969 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 6 件 Link
77[.]247[.]109[.]87 Estonia 3 件 Link
64[.]233[.]172[.]191 United States 2 件 Link
181[.]210[.]65[.]91 Honduras 2 件 Link
89[.]38[.]190[.]54 Iran 1 件 Link
162[.]243[.]131[.]175 United States 1 件 Link
104[.]191[.]250[.]56 United States 1 件 Link
178[.]237[.]188[.]51 Russia 1 件 Link
24[.]60[.]100[.]32 United States 1 件 Link
143[.]202[.]189[.]237 Brazil 1 件 Link
45[.]224[.]95[.]6 Brazil 1 件 Link
179[.]96[.]183[.]205 Brazil 1 件 Link
139[.]162[.]106[.]181 Japan 1 件 Link
45[.]13[.]93[.]82 Germany 1 件 Link
89[.]40[.]73[.]79 Romania 1 件 Link
220[.]233[.]114[.]66 Australia 1 件 Link
212[.]107[.]224[.]141 Russia 1 件 Link
185[.]232[.]65[.]227 Romania 1 件 Link
49[.]233[.]180[.]152 China 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 6 件 Link
77[.]247[.]109[.]87 Estonia 3 件 Link
64[.]233[.]172[.]191 United States 2 件 Link
181[.]210[.]65[.]91 Honduras 2 件 Link
89[.]38[.]190[.]54 Iran 1 件 Link
162[.]243[.]131[.]175 United States 1 件 Link
104[.]191[.]250[.]56 United States 1 件 Link
178[.]237[.]188[.]51 Russia 1 件 Link
24[.]60[.]100[.]32 United States 1 件 Link
143[.]202[.]189[.]237 Brazil 1 件 Link
45[.]224[.]95[.]6 Brazil 1 件 Link
179[.]96[.]183[.]205 Brazil 1 件 Link
139[.]162[.]106[.]181 Japan 1 件 Link
45[.]13[.]93[.]82 Germany 1 件 Link
89[.]40[.]73[.]79 Romania 1 件 Link
220[.]233[.]114[.]66 Australia 1 件 Link
212[.]107[.]224[.]141 Russia 1 件 Link
185[.]232[.]65[.]227 Romania 1 件 Link
49[.]233[.]180[.]152 China 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/_ping
/v1[.]40/containers/json

02 WOWHoneypot

URI Path Target CVE Memo
/YVMa

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
- - - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 622610 件
/ - - 323 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 47 件
sip:nm Session Initiation Protocol - 17 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 16 件
/nice - - 15 件
login[.]cgi D-Link Router - 12 件
/cgi CGI - 9 件
/version - - 7 件
/ws/v1/cluster/apps/new-application Hadoop YARN ResourceManager - 7 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 5 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 4 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 4 件
/api api - 3 件
/admin/assets/js/views/login[.]js FreePBX - 3 件
/server-info Apache - 3 件
/shell MVPower DVR - 3 件
SERVER - - 2 件
hxxp://aandetransportandrecovery[.]co[.]
uk/
 Unauthorized relay - 2 件
/setup/eureka_info Google Home Hub - 2 件
/_search Elasticsearch - 2 件
/_ping New - 2 件
/status - 2020/2/15 1 件
/v1[.]16/version - - 1 件
/info - - 1 件
/wls-wsat/CoordinatorPortType11 Weblogic CVE-2017-10271 1 件
hxxp://example[.]com/ Unauthorized relay - 1 件
/jars Unknown - 1 件
/service/extdirect Sonatype Nexus Repository Manager CVE-2019-7238 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
hxxp://160[.]16[.]145[.]183:49152/upnp/c
ontrol/basicevent1
 Unauthorized relay - 1 件
/manager/html Tomcat - 1 件
/tmUnblock[.]cgi Linksys E-series - 1 件
/v1[.]40/containers/json New - 1 件
/TP/public/index[.]php - - 1 件
/users - - 1 件
/GponForm/diag_Form DASAN Network Solutions CVE-2018-10561 1 件
/cgi-bin/nobody/ CGI - 1 件
/admin-scripts[.]asp Administrator - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/ - - 36 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/boaform/admin/formPing Administrator - 3 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
 PHPUnit CVE-2017-9841 2 件
/favicon[.]ico favicon - 1 件
ip[.]ws[.]126[.]net:443 Unauthorized Relay - 1 件
/solr/admin/info/system Apache Solr - 1 件
/index[.]php - - 1 件
/TP/public/index[.]php - - 1 件
/portal/redlion Unknown - 1 件
/YVMa New - 1 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 1 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/admin/assets/js/views/login[.]js FreePBX - 8 件
/ - - 3 件
/index[.]php - - 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 623077 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 10 件
hxxp://51[.]178[.]81[.]75/mips 8 件
hxxp://19ce033f[.]ngrok[.]io/arm7 4 件
hxxp://92[.]222[.]70[.]178/SBIDIOT/mips 3 件
hxxp://192[.]3[.]45[.]185/arm7 2 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh 2 件
hxxp://66[.]42[.]87[.]9/adb3 2 件
hxxp://174[.]128[.]228[.]101/yakuza[.]mips 1 件
hxxp://51[.]222[.]0[.]40/bins/mpsl 1 件
hxxp://185[.]172[.]110[.]224/ab/arm7 1 件
hxxp://164[.]132[.]92[.]180/xtc[.]arm7 1 件
hxxp://irc[.]hoaxcalls[.]pw/arm7 1 件
hxxp://176[.]123[.]3[.]96/arm7 1 件
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]m 1 件
hxxp://188[.]209[.]49[.]244/test[.]sh 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
3391 209[.]45[.]61[.]241 Peru 173 件 Link
3390 209[.]45[.]61[.]241 Peru 172 件 Link
47262 185[.]202[.]2[.]120 France 5 件 Link
19891 185[.]202[.]1[.]19 France 4 件 Link
24390 185[.]202[.]1[.]19 France 4 件 Link
23916 185[.]202[.]1[.]19 France 4 件 Link
24373 185[.]202[.]1[.]19 France 4 件 Link
17499 185[.]202[.]1[.]19 France 4 件 Link
23175 185[.]202[.]1[.]19 France 4 件 Link
18490 185[.]202[.]1[.]19 France 4 件 Link
18256 185[.]202[.]1[.]19 France 4 件 Link
18851 185[.]202[.]1[.]19 France 4 件 Link
24857 185[.]202[.]1[.]19 France 4 件 Link
19729 185[.]202[.]1[.]19 France 4 件 Link
19240 185[.]202[.]1[.]19 France 4 件 Link
24982 185[.]202[.]1[.]19 France 4 件 Link
22874 185[.]202[.]1[.]19 France 4 件 Link
23322 185[.]202[.]1[.]19 France 4 件 Link
23505 185[.]202[.]1[.]19 France 4 件 Link
18026 185[.]202[.]1[.]19 France 4 件 Link

Port

Port Count
3390 179 件
3391 178 件
3389 42 件
25251 8 件
23823 6 件
17854 6 件
24600 6 件
24724 6 件
23845 5 件
23669 5 件
23694 5 件
17518 5 件
24247 5 件
19890 5 件
24498 5 件
18582 5 件
18815 5 件
18056 5 件
22998 5 件
18403 5 件

IP

IP Country Count AbuseIPDB
185[.]202[.]1[.]19 France 11644 件 Link
194[.]61[.]26[.]5 Netherlands 1832 件 Link
185[.]202[.]2[.]120 France 1004 件 Link
185[.]202[.]1[.]10 France 797 件 Link
209[.]45[.]61[.]241 Peru 345 件 Link
5[.]101[.]64[.]77 Russia 94 件 Link
185[.]153[.]199[.]12 Russia 52 件 Link
185[.]202[.]2[.]149 France 29 件 Link
194[.]0[.]206[.]5 Ukraine 22 件 Link
194[.]28[.]112[.]49 Netherlands 20 件 Link
185[.]202[.]1[.]248 France 20 件 Link
185[.]176[.]221[.]207 Latvia 18 件 Link
185[.]202[.]1[.]36 France 16 件 Link
185[.]202[.]0[.]25 United Kingdom 15 件 Link
185[.]202[.]0[.]27 United Kingdom 13 件 Link
185[.]202[.]1[.]249 France 13 件 Link
163[.]172[.]68[.]20 United Kingdom 5 件 Link
185[.]202[.]1[.]20 France 5 件 Link
185[.]202[.]1[.]122 France 5 件 Link
185[.]202[.]2[.]243 France 4 件 Link

Port 1433

IP Country Count AbuseIPDB
103[.]107[.]188[.]174 China 54545 件 Link
118[.]69[.]40[.]251 Vietnam 50209 件 Link
80[.]251[.]145[.]16 Russia 46026 件 Link
180[.]166[.]90[.]181 China 40891 件 Link
117[.]25[.]182[.]50 China 37388 件 Link
78[.]186[.]173[.]61 Turkey 36104 件 Link
148[.]244[.]240[.]231 Mexico 34086 件 Link
14[.]175[.]167[.]143 Vietnam 32212 件 Link
85[.]100[.]124[.]175 Turkey 29789 件 Link
190[.]115[.]3[.]171 Guatemala 26811 件 Link
46[.]31[.]34[.]41 Poland 25943 件 Link
173[.]95[.]47[.]227 United States 21357 件 Link
212[.]77[.]151[.]229 Russia 20319 件 Link
80[.]69[.]180[.]108 Russia 19202 件 Link
93[.]81[.]205[.]42 Russia 18471 件 Link
109[.]69[.]30[.]140 Russia 18171 件 Link
179[.]157[.]67[.]122 Brazil 16457 件 Link
112[.]8[.]251[.]198 China 12819 件 Link
113[.]245[.]53[.]242 China 12562 件 Link
116[.]105[.]140[.]122 Vietnam 11969 件 Link