【ハニーポット簡易分析】Honeypot簡易分析(2020/4/20)
HTTPSのハニーポットに調査行為止まりの通信(RFCに記載されているもの)ではありますが、DNS over HTTPSの通信が来てました。
Port(TOP20)
- Honeytrap
| Port | Service | Count |
|---|---|---|
| 1433 | Microsoft-SQL-Server | 511123 件 |
| 3391 | SAVANT | 4436 件 |
| 3390 | Distributed Service Coordinator | 2839 件 |
| 445 | Microsoft-DS | 1814 件 |
| 22 | The Secure Shell (SSH) Protocol | 1079 件 |
| 3389 | MS WBT Server | 155 件 |
| 1064 | JSTEL | 90 件 |
| 6646 | Unknown | 78 件 |
| 2967 | SSC-AGENT | 72 件 |
| 52869 | Realtek SDK miniigd SOAP Service | 53 件 |
| 3386 | GPRS Data | 48 件 |
| 102 | ISO-TSAP Class 0 | 46 件 |
| 2082 | Infowave Mobility Server | 41 件 |
| 4991 | VITA Radio Transport | 40 件 |
| 8098 | Unknown | 40 件 |
| 123 | Network Time Protocol | 39 件 |
| 49 | Login Host Protocol (TACACS) | 39 件 |
| 4592 | Reserved | 39 件 |
| 81 | Unknown | 38 件 |
| 5001 | Unknown | 35 件 |
IP(TOP20)
01 Honeytrap
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 45[.]112[.]54[.]146 | India | 60295 件 | Link |
| 117[.]25[.]182[.]50 | China | 52290 件 | Link |
| 180[.]166[.]90[.]181 | China | 48784 件 | Link |
| 60[.]170[.]0[.]30 | China | 44919 件 | Link |
| 80[.]251[.]145[.]16 | Russia | 43663 件 | Link |
| 14[.]175[.]167[.]143 | Vietnam | 34832 件 | Link |
| 109[.]69[.]30[.]140 | Russia | 32851 件 | Link |
| 103[.]107[.]188[.]174 | China | 32252 件 | Link |
| 85[.]100[.]124[.]175 | Turkey | 24998 件 | Link |
| 60[.]170[.]0[.]6 | China | 24025 件 | Link |
| 78[.]186[.]173[.]61 | Turkey | 23801 件 | Link |
| 93[.]81[.]205[.]42 | Russia | 22159 件 | Link |
| 148[.]244[.]240[.]231 | Mexico | 20818 件 | Link |
| 185[.]202[.]1[.]19 | France | 12054 件 | Link |
| 160[.]202[.]146[.]216 | Bangladesh | 11441 件 | Link |
| 1[.]0[.]209[.]49 | Thailand | 9781 件 | Link |
| 185[.]220[.]38[.]253 | Russia | 8997 件 | Link |
| 36[.]91[.]43[.]18 | Indonesia | 6969 件 | Link |
| 209[.]45[.]61[.]241 | Peru | 4054 件 | Link |
| 45[.]141[.]87[.]2 | Russia | 3678 件 | Link |
02 WOWHoneypot
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 77[.]247[.]108[.]119 | Estonia | 8 件 | Link |
| 5[.]101[.]0[.]209 | Russia | 6 件 | Link |
| 41[.]179[.]253[.]229 | Egypt | 4 件 | Link |
| 5[.]232[.]248[.]52 | Iran | 2 件 | Link |
| 162[.]243[.]133[.]123 | United States | 1 件 | Link |
| 177[.]44[.]38[.]128 | Brazil | 1 件 | Link |
| 34[.]241[.]152[.]39 | Ireland | 1 件 | Link |
| 85[.]99[.]128[.]15 | Turkey | 1 件 | Link |
| 89[.]40[.]73[.]127 | Romania | 1 件 | Link |
| 162[.]243[.]131[.]84 | United States | 1 件 | Link |
| 80[.]82[.]78[.]104 | Netherlands | 1 件 | Link |
| 162[.]243[.]131[.]175 | United States | 1 件 | Link |
| 164[.]68[.]112[.]178 | Germany | 1 件 | Link |
| 209[.]45[.]60[.]60 | Peru | 1 件 | Link |
| 213[.]14[.]140[.]85 | Turkey | 1 件 | Link |
| 85[.]122[.]180[.]114 | Romania | 1 件 | Link |
| 183[.]131[.]110[.]114 | China | 1 件 | Link |
| 113[.]161[.]38[.]190 | Vietnam | 1 件 | Link |
| 5[.]235[.]236[.]212 | Iran | 1 件 | Link |
| 180[.]249[.]180[.]155 | Indonesia | 1 件 | Link |
03 WOWHoneypot(SSL)
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 77[.]247[.]108[.]119 | Estonia | 8 件 | Link |
| 5[.]101[.]0[.]209 | Russia | 6 件 | Link |
| 41[.]179[.]253[.]229 | Egypt | 4 件 | Link |
| 5[.]232[.]248[.]52 | Iran | 2 件 | Link |
| 162[.]243[.]133[.]123 | United States | 1 件 | Link |
| 177[.]44[.]38[.]128 | Brazil | 1 件 | Link |
| 34[.]241[.]152[.]39 | Ireland | 1 件 | Link |
| 85[.]99[.]128[.]15 | Turkey | 1 件 | Link |
| 89[.]40[.]73[.]127 | Romania | 1 件 | Link |
| 162[.]243[.]131[.]84 | United States | 1 件 | Link |
| 80[.]82[.]78[.]104 | Netherlands | 1 件 | Link |
| 162[.]243[.]131[.]175 | United States | 1 件 | Link |
| 164[.]68[.]112[.]178 | Germany | 1 件 | Link |
| 209[.]45[.]60[.]60 | Peru | 1 件 | Link |
| 213[.]14[.]140[.]85 | Turkey | 1 件 | Link |
| 85[.]122[.]180[.]114 | Romania | 1 件 | Link |
| 183[.]131[.]110[.]114 | China | 1 件 | Link |
| 113[.]161[.]38[.]190 | Vietnam | 1 件 | Link |
| 5[.]235[.]236[.]212 | Iran | 1 件 | Link |
| 180[.]249[.]180[.]155 | Indonesia | 1 件 | Link |
URI Path
NEW URI Path
01 Honeytrap
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| /manager | Apache Tomcat Manager | - | - |
| rtsp://160[.]16[.]145[.]183:8554/ | Real Time Streaming Protocol | - | - |
| RTSP://160[.]16[.]145[.]183:554/ | Real Time Streaming Protocol | - | - |
| /ws/v1/cluster | Apache Hadoop | - | - |
02 WOWHoneypot
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| - | - | - | - |
03 WOWHoneypot(SSL)
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| /dns-query | DNS over HTTPS | - | - |
URI Path
01 Honeytrap
| URI Path | Target | CVE | Count |
|---|---|---|---|
| No uri path | - | - | 544199 件 |
| / | - | - | 330 件 |
| /picsdesc[.]xml | Realtek SDK | CVE-2014-8361 | 53 件 |
| /ctrlt/DeviceUpgrade_1 | Huawei Home Device | - | 22 件 |
| hxxp://112[.]35[.]66[.]7:8088/index[.]ph p |
- | - | 14 件 |
| /nice | - | - | 13 件 |
| hxxp://112[.]35[.]53[.]83:8088/index[.]p hp |
- | - | 13 件 |
| hxxp://112[.]35[.]63[.]31:8088/index[.]p hp |
- | - | 13 件 |
| sip:nm | Session Initiation Protocol | - | 12 件 |
| hxxp://112[.]35[.]88[.]28:8088/index[.]p hp |
- | - | 12 件 |
| login[.]cgi | D-Link Router | - | 11 件 |
| /shell | MVPower DVR | - | 7 件 |
| hxxp://clientapi[.]ipip[.]net/echo[.]php | Unauthorized relay | - | 7 件 |
| /cgi | CGI | - | 7 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 5 件 |
| /ws/v1/cluster/apps/new-application | Hadoop YARN ResourceManager | - | 5 件 |
| /api | api | - | 4 件 |
| hxxp://123[.]125[.]114[.]144/ | Unauthorized relay | - | 4 件 |
| /version | - | - | 4 件 |
| /jmx | JMX | - | 3 件 |
| hxxp://example[.]com/ | Unauthorized relay | - | 3 件 |
| /manager/text/list | Tomcat | - | 3 件 |
| hxxp://112[.]124[.]42[.]80:63435/ | Unauthorized relay | - | 2 件 |
| /server-info | Apache | - | 2 件 |
| /hazelcast/rest/cluster | Open-Xchange AppSuite | CVE-2013-5936 | 2 件 |
| SERVER | - | - | 2 件 |
| /securityRealm/user/admin/search/index | Administrator | - | 1 件 |
| /setup[.]cgi | DGN1000 Netgear Router | - | 1 件 |
| /hudson | Unknown | - | 1 件 |
| /manager | New | - | 1 件 |
| /status | - | 2020/2/15 | 1 件 |
| /api/status[.]json | api | - | 1 件 |
| rtsp://160[.]16[.]145[.]183:8554/ | New | - | 1 件 |
| RTSP://160[.]16[.]145[.]183:554/ | New | - | 1 件 |
| /service/extdirect | Sonatype Nexus Repository Manager | CVE-2019-7238 | 1 件 |
| /jars | Unknown | - | 1 件 |
| /ws/v1/cluster | New | - | 1 件 |
| /info | - | - | 1 件 |
| /stats | - | - | 1 件 |
| /db/manage/ | Database | - | 1 件 |
| sip:160[.]16[.]145[.]183 | Session Initiation Protocol | - | 1 件 |
02 WOWHoneypot
| URI Path | Target | CVE | Count |
|---|---|---|---|
| / | - | - | 23 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 8 件 |
| /TP/public/index[.]php | - | - | 3 件 |
| /vendor/phpunit/phpunit/src/Util/PHP/eva l-stdin[.]php |
PHPUnit | CVE-2017-9841 | 2 件 |
| /hudson | Unknown | - | 1 件 |
| /solr/admin/info/system | Apache Solr | - | 1 件 |
| /index[.]php | - | - | 1 件 |
| /editBlackAndWhiteList | DVR/NVR/IPC API | - | 1 件 |
| /manager/text/list | Tomcat | - | 1 件 |
| /portal/redlion | Unknown | - | 1 件 |
| /cgi-bin/mainfunction[.]cgi | DrayTek | CVE-2020-8515 | 1 件 |
03 WOWHoneypot(SSL)
| URI Path | Target | CVE | Count |
|---|---|---|---|
| /admin/assets/js/views/login[.]js | FreePBX | - | 8 件 |
| / | - | - | 4 件 |
| /vendor/phpunit/phpunit/src/Util/PHP/eva l-stdin[.]php |
PHPUnit | CVE-2017-9841 | 2 件 |
| /cgi-bin/config[.]exp | CGI | - | 1 件 |
| /dns-query | New | - | 1 件 |
Malware
- Honeytrap
| Malware | Count |
|---|---|
| No Malware | 544732 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 13 件 |
| hxxp://194[.]180[.]224[.]137/mXy3uh[.]sh | 7 件 |
| hxxp://176[.]123[.]3[.]96/arm7 | 5 件 |
| hxxp://51[.]178[.]81[.]75/mips | 5 件 |
| hxxp://92[.]222[.]70[.]178/SBIDIOT/mips | 2 件 |
| hxxp://178[.]32[.]148[.]5/arm7 | 1 件 |
| hxxp://19ce033f[.]ngrok[.]io/arm7 | 1 件 |
| hxxp://195[.]231[.]4[.]17/AB4g5/Omni[.]mips | 1 件 |
RDP
Port/IP
| Port | IP | Country | Count | AbuseIPDB |
|---|---|---|---|---|
| 3391 | 27[.]254[.]207[.]47 | Thailand | 2394 件 | Link |
| 3391 | 209[.]45[.]61[.]241 | Peru | 2028 件 | Link |
| 3390 | 209[.]45[.]61[.]241 | Peru | 2026 件 | Link |
| 3390 | 27[.]254[.]207[.]47 | Thailand | 796 件 | Link |
| 3389 | 112[.]78[.]134[.]194 | Indonesia | 58 件 | Link |
| 3389 | 112[.]78[.]134[.]196 | Indonesia | 21 件 | Link |
| 3389 | 139[.]217[.]94[.]43 | China | 20 件 | Link |
| 3389 | 78[.]129[.]252[.]18 | United Kingdom | 9 件 | Link |
| 24867 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 25447 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 24209 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 24106 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 24858 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 24550 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 24886 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 5939 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 25613 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 25042 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 24347 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
| 24342 | 185[.]202[.]1[.]189 | France | 6 件 | Link |
Port
| Port | Count |
|---|---|
| 3391 | 4434 件 |
| 3390 | 2836 件 |
| 3389 | 150 件 |
| 24470 | 11 件 |
| 3395 | 11 件 |
| 3386 | 11 件 |
| 3388 | 11 件 |
| 24948 | 10 件 |
| 24894 | 10 件 |
| 24396 | 10 件 |
| 24260 | 10 件 |
| 3392 | 10 件 |
| 24156 | 9 件 |
| 24444 | 9 件 |
| 24026 | 9 件 |
| 25565 | 9 件 |
| 24635 | 9 件 |
| 24403 | 9 件 |
| 3396 | 9 件 |
| 24490 | 9 件 |
IP
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 185[.]202[.]1[.]19 | France | 12054 件 | Link |
| 209[.]45[.]61[.]241 | Peru | 4054 件 | Link |
| 185[.]202[.]1[.]189 | France | 3497 件 | Link |
| 27[.]254[.]207[.]47 | Thailand | 3190 件 | Link |
| 185[.]202[.]2[.]120 | France | 825 件 | Link |
| 185[.]202[.]1[.]10 | France | 809 件 | Link |
| 194[.]61[.]26[.]5 | Netherlands | 294 件 | Link |
| 5[.]101[.]64[.]77 | Russia | 81 件 | Link |
| 185[.]202[.]1[.]85 | France | 78 件 | Link |
| 112[.]78[.]134[.]194 | Indonesia | 58 件 | Link |
| 185[.]202[.]1[.]248 | France | 55 件 | Link |
| 185[.]202[.]0[.]27 | United Kingdom | 45 件 | Link |
| 185[.]202[.]2[.]149 | France | 25 件 | Link |
| 112[.]78[.]134[.]196 | Indonesia | 21 件 | Link |
| 139[.]217[.]94[.]43 | China | 20 件 | Link |
| 194[.]28[.]112[.]49 | Netherlands | 19 件 | Link |
| 185[.]202[.]1[.]249 | France | 17 件 | Link |
| 185[.]153[.]196[.]99 | Russia | 16 件 | Link |
| 185[.]202[.]1[.]43 | France | 13 件 | Link |
| 185[.]153[.]199[.]12 | Russia | 12 件 | Link |
Port 1433
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 45[.]112[.]54[.]146 | India | 60295 件 | Link |
| 117[.]25[.]182[.]50 | China | 52290 件 | Link |
| 180[.]166[.]90[.]181 | China | 48784 件 | Link |
| 60[.]170[.]0[.]30 | China | 44919 件 | Link |
| 80[.]251[.]145[.]16 | Russia | 43663 件 | Link |
| 14[.]175[.]167[.]143 | Vietnam | 34832 件 | Link |
| 109[.]69[.]30[.]140 | Russia | 32851 件 | Link |
| 103[.]107[.]188[.]174 | China | 32252 件 | Link |
| 85[.]100[.]124[.]175 | Turkey | 24998 件 | Link |
| 60[.]170[.]0[.]6 | China | 24025 件 | Link |
| 78[.]186[.]173[.]61 | Turkey | 23801 件 | Link |
| 93[.]81[.]205[.]42 | Russia | 22159 件 | Link |
| 148[.]244[.]240[.]231 | Mexico | 20818 件 | Link |
| 160[.]202[.]146[.]216 | Bangladesh | 11441 件 | Link |
| 1[.]0[.]209[.]49 | Thailand | 9781 件 | Link |
| 185[.]220[.]38[.]253 | Russia | 8997 件 | Link |
| 36[.]91[.]43[.]18 | Indonesia | 6969 件 | Link |
| 2[.]92[.]204[.]223 | Russia | 2436 件 | Link |
| 113[.]245[.]53[.]242 | China | 1369 件 | Link |
| 36[.]90[.]88[.]8 | Indonesia | 1161 件 | Link |
