タイから1万件近いRDPへの通信を検知してました。

Port(TOP20)

Honeytrap

Port	Service	Count
1433	Microsoft-SQL-Server	329558 件
3391	SAVANT	8427 件
3390	Distributed Service Coordinator	3692 件
22	The Secure Shell (SSH) Protocol	1772 件
445	Microsoft-DS	1705 件
5001	Unknown	89 件
3389	MS WBT Server	82 件
2001	Unknown	74 件
4911	Unknown	72 件
52869	Realtek SDK miniigd SOAP Service	55 件
8291	Unknown	44 件
8080	HTTP Alternate (see port 80)	42 件
5555	Android Debug Bridge	40 件
5672	AMQP	38 件
9527	Unknown	37 件
81	Unknown	35 件
5222	XMPP Client Connection	33 件
5432	PostgreSQL Database	33 件
5984	CouchDB	30 件
8088	Radan HTTP	22 件

IP(TOP20)

01 Honeytrap

IP	Country	Count	AbuseIPDB
183[.]131[.]85[.]18	China	68141 件	Link
115[.]75[.]48[.]138	Vietnam	38075 件	Link
185[.]229[.]9[.]135	Russia	35302 件	Link
221[.]215[.]205[.]122	China	26690 件	Link
106[.]3[.]43[.]25	China	23239 件	Link
45[.]141[.]87[.]27	Russia	22792 件	Link
45[.]112[.]54[.]146	India	22158 件	Link
93[.]81[.]205[.]42	Russia	22153 件	Link
170[.]80[.]181[.]138	Brazil	19412 件	Link
43[.]231[.]62[.]86	Pakistan	16406 件	Link
185[.]202[.]1[.]19	France	11068 件	Link
60[.]170[.]0[.]30	China	9597 件	Link
27[.]254[.]207[.]47	Thailand	9448 件	Link
112[.]115[.]227[.]213	China	8019 件	Link
125[.]132[.]176[.]126	South Korea	7516 件	Link
1[.]55[.]226[.]68	Vietnam	6216 件	Link
60[.]170[.]0[.]6	China	6122 件	Link
198[.]108[.]67[.]48	United States	5802 件	Link
14[.]249[.]158[.]244	Vietnam	4890 件	Link
190[.]203[.]255[.]231	Venezuela	3305 件	Link

02 WOWHoneypot

IP	Country	Count	AbuseIPDB
45[.]146[.]253[.]35	Germany	27 件	Link
77[.]247[.]108[.]119	Estonia	7 件	Link
125[.]212[.]217[.]214	Vietnam	5 件	Link
177[.]139[.]171[.]190	Brazil	2 件	Link
80[.]24[.]44[.]11	Spain	1 件	Link
192[.]241[.]238[.]154	United States	1 件	Link
89[.]40[.]73[.]87	Romania	1 件	Link
45[.]13[.]93[.]90	Germany	1 件	Link
51[.]38[.]57[.]199	France	1 件	Link
45[.]238[.]208[.]3	Brazil	1 件	Link
45[.]148[.]10[.]72	Netherlands	1 件	Link
45[.]176[.]125[.]41	Brazil	1 件	Link
46[.]2[.]240[.]152	Turkey	1 件	Link
185[.]216[.]140[.]6	Netherlands	1 件	Link
80[.]82[.]78[.]104	Netherlands	1 件	Link
162[.]243[.]129[.]170	United States	1 件	Link
178[.]93[.]17[.]210	Ukraine	1 件	Link
196[.]52[.]43[.]59	South Africa	1 件	Link
206[.]192[.]81[.]22	United States	1 件	Link
193[.]242[.]212[.]101	Poland	1 件	Link

03 WOWHoneypot(SSL)

IP	Country	Count	AbuseIPDB
45[.]146[.]253[.]35	Germany	27 件	Link
77[.]247[.]108[.]119	Estonia	7 件	Link
125[.]212[.]217[.]214	Vietnam	5 件	Link
177[.]139[.]171[.]190	Brazil	2 件	Link
80[.]24[.]44[.]11	Spain	1 件	Link
192[.]241[.]238[.]154	United States	1 件	Link
89[.]40[.]73[.]87	Romania	1 件	Link
45[.]13[.]93[.]90	Germany	1 件	Link
51[.]38[.]57[.]199	France	1 件	Link
45[.]238[.]208[.]3	Brazil	1 件	Link
45[.]148[.]10[.]72	Netherlands	1 件	Link
45[.]176[.]125[.]41	Brazil	1 件	Link
46[.]2[.]240[.]152	Turkey	1 件	Link
185[.]216[.]140[.]6	Netherlands	1 件	Link
80[.]82[.]78[.]104	Netherlands	1 件	Link
162[.]243[.]129[.]170	United States	1 件	Link
178[.]93[.]17[.]210	Ukraine	1 件	Link
196[.]52[.]43[.]59	South Africa	1 件	Link
206[.]192[.]81[.]22	United States	1 件	Link
193[.]242[.]212[.]101	Poland	1 件	Link

URI Path

NEW URI Path

01 Honeytrap

URI Path	Target	CVE	Memo
/live/CPEManager/AXCampaignManager/delet e_cpes_by_ids	CNM SecuManager	-	-
/_ping	Unknown	-	-
/PSBlock	Supermicro IPMI	-	-
/apply_sec[.]cgi	D-Link WiFi Router	CVE-2019-16920	-
/v1[.]40/containers/json	Docker Engine API,	-	-
/public/hydra[.]php	Webshell	-	-

02 WOWHoneypot

URI Path	Target	CVE	Memo
//wp-content/plugins/apikey/apikey[.]php	Wordpress	-	-

03 WOWHoneypot(SSL)

URI Path	Target	CVE	Memo
-	-	-	-

URI Path

01 Honeytrap

URI Path	Target	CVE	Count
No uri path	-	-	389952 件
/	-	-	2297 件
/picsdesc[.]xml	Realtek SDK	CVE-2014-8361	55 件
/ctrlt/DeviceUpgrade_1	Huawei Home Device	-	16 件
/ws/v1/cluster/apps/new-application	Apache Hadoop	-	15 件
/cgi	CGI	-	14 件
login[.]cgi	D-Link Router	-	9 件
sip:nm	Session Initiation Protocol	-	8 件
/live/CPEManager/AXCampaignManager/delet e_cpes_by_ids	New	-	7 件
/nice	-	-	7 件
/manager/html	Apache Tomcat Manager	-	5 件
hxxp://clientapi[.]ipip[.]net/echo[.]php	Unauthorized relay	-	5 件
/shell	MVPower DVR	-	5 件
/admin/assets/js/views/login[.]js	FreePBX	-	4 件
/version	-	-	3 件
/jmx	JMX	-	3 件
hxxp://example[.]com/	Unauthorized relay	-	2 件
/wls-wsat/CoordinatorPortType11	Weblogic	CVE-2017-10271	2 件
/hazelcast/rest/cluster	Open-Xchange AppSuite	CVE-2013-5936	2 件
/server-info	Apache	-	2 件
/_ping	New	-	2 件
/public/index[.]php	-	-	2 件
/GponForm/diag_Form	DASAN Network Solutions	CVE-2018-10561	1 件
/manager/text/list	Apache Tomcat Manager	-	1 件
hxxp://www[.]baidu[.]com/	Unauthorized relay	-	1 件
hxxp://www[.]bgex[.]com/	Unauthorized relay	-	1 件
/PSBlock	New	-	1 件
/solr/admin/cores	Apache Solr	-	1 件
/_search	Elasticsearch	-	1 件
/solr/admin/info/system	Apache Solr	-	1 件
/apply_sec[.]cgi	New	-	1 件
/json_rpc	JSON-RPC	-	1 件
/hudson	Unknown	-	1 件
hxxp://chek[.]zennolab[.]com/proxy[.]php	Unauthorized relay	-	1 件
/jars	Unknown	-	1 件
/service/extdirect	Sonatype Nexus Repository Manager	CVE-2019-7238	1 件
/admin-scripts[.]asp	Administrator	-	1 件
/v1[.]40/containers/json	New	-	1 件
rtsp://160[.]16[.]145[.]183:554/	Real Time Streaming Protocol	-	1 件
/v2/stats/self	ETCD API	-	1 件
/info	-	-	1 件
/public/hydra[.]php	New	-	1 件
SERVER	-	-	1 件
/tmUnblock[.]cgi	Linksys E-series	-	1 件
/stats	-	-	1 件
/db/manage/	Database	-	1 件
/_cat/indices	Elasticsearch	-	1 件

02 WOWHoneypot

URI Path	Target	CVE	Count
/	-	-	21 件
/phpMyAdmin/scripts/setup[.]php	phpMyAdmin	-	21 件
/cgi-bin/mainfunction[.]cgi	DrayTek	CVE-2020-8515	13 件
/admin/assets/js/views/login[.]js	FreePBX	-	7 件
ip[.]ws[.]126[.]net:443	Unauthorized Relay	-	2 件
/manager/html	Apache Tomcat Manager	-	1 件
/phpmyadmin/scripts/setup[.]php	phpMyAdmin	-	1 件
/pma/scripts/setup[.]php	phpMyAdmin	-	1 件
/mysql/scripts/setup[.]php	MySQL	-	1 件
/myadmin/scripts/setup[.]php	Administrator	-	1 件
/sqladmin/scripts/setup[.]php	SQLAdmin	-	1 件
/db/scripts/setup[.]php	Database	-	1 件
hxxp://example[.]com/	Unauthorized relay	-	1 件
/hudson	Unknown	-	1 件
/robots[.]txt	robots.txt	-	1 件
/sitemap[.]xml	XML sitemap	-	1 件
/[.]well-known/security[.]txt	Hidden files	-	1 件
/favicon[.]ico	favicon	-	1 件
/boaform/admin/formPing	Administrator	-	1 件
//wp-content/plugins/apikey/apikey[.]php	New	-	1 件
/portal/redlion	Unknown	-	1 件

03 WOWHoneypot(SSL)

URI Path	Target	CVE	Count
/admin/assets/js/views/login[.]js	FreePBX	-	6 件
/	-	-	6 件
/data[.]php	-	-	1 件
/ajax	-	-	1 件
/owa/auth/logon[.]aspx	Microsoft Exchange Server	CVE-2018-16793	1 件

Malware

Honeytrap

Malware	Count
No Malware	392388 件
hxxp://178[.]33[.]64[.]107/arm7	13 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	12 件
hxxp://51[.]178[.]81[.]75/mips	11 件
hxxp://176[.]123[.]3[.]96/arm7	5 件
hxxp://80[.]211[.]230[.]27:1691/dvrbot[.]arm7	3 件
hxxp://fid[.]hognoob[.]se/download[.]exe	2 件
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]m	1 件
hxxp://37[.]49[.]226[.]43/infect	1 件
hxxp://19ce033f[.]ngrok[.]io/arm7	1 件
hxxp://185[.]172[.]110[.]232/Cloud[.]mips	1 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh	1 件
hxxp://212[.]114[.]52[.]128/arm7	1 件
hxxp://51[.]222[.]0[.]40/bins/mpsl	1 件
hxxp://178[.]32[.]148[.]5/arm7	1 件

RDP

Port/IP

Port	IP	Country	Count	AbuseIPDB
3391	27[.]254[.]207[.]47	Thailand	7090 件	Link
3390	27[.]254[.]207[.]47	Thailand	2358 件	Link
3391	209[.]45[.]61[.]241	Peru	1321 件	Link
3390	209[.]45[.]61[.]241	Peru	1319 件	Link
29497	45[.]141[.]87[.]27	Russia	8 件	Link
17532	45[.]141[.]87[.]27	Russia	8 件	Link
19542	45[.]141[.]87[.]27	Russia	8 件	Link
18584	45[.]141[.]87[.]27	Russia	8 件	Link
18952	45[.]141[.]87[.]27	Russia	8 件	Link
28169	45[.]141[.]87[.]27	Russia	8 件	Link
22221	45[.]141[.]87[.]27	Russia	8 件	Link
22046	45[.]141[.]87[.]27	Russia	8 件	Link
17607	45[.]141[.]87[.]27	Russia	8 件	Link
22541	45[.]141[.]87[.]27	Russia	8 件	Link
29753	45[.]141[.]87[.]27	Russia	8 件	Link
28069	45[.]141[.]87[.]27	Russia	8 件	Link
17854	45[.]141[.]87[.]27	Russia	8 件	Link
22850	45[.]141[.]87[.]27	Russia	8 件	Link
22863	45[.]141[.]87[.]27	Russia	8 件	Link
29572	45[.]141[.]87[.]27	Russia	8 件	Link

Port

Port	Count
3391	8427 件
3390	3692 件
3389	65 件
3380	13 件
3392	12 件
3387	12 件
3384	12 件
22894	12 件
23489	12 件
23313	12 件
24351	12 件
23933	11 件
23195	11 件
18193	11 件
23266	11 件
17161	11 件
23333	11 件
18410	11 件
23320	11 件
24441	11 件

IP

IP	Country	Count	AbuseIPDB
45[.]141[.]87[.]27	Russia	22792 件	Link
185[.]202[.]1[.]19	France	11068 件	Link
27[.]254[.]207[.]47	Thailand	9448 件	Link
209[.]45[.]61[.]241	Peru	2640 件	Link
185[.]202[.]1[.]189	France	1320 件	Link
185[.]202[.]2[.]120	France	1035 件	Link
185[.]202[.]1[.]85	France	889 件	Link
185[.]202[.]1[.]248	France	858 件	Link
185[.]202[.]1[.]10	France	797 件	Link
185[.]202[.]1[.]249	France	464 件	Link
185[.]202[.]1[.]188	France	173 件	Link
92[.]63[.]194[.]241	Russia	82 件	Link
92[.]63[.]194[.]21	Russia	79 件	Link
185[.]153[.]196[.]239	Russia	77 件	Link
185[.]153[.]199[.]87	Russia	74 件	Link
185[.]153[.]199[.]81	Russia	73 件	Link
79[.]124[.]62[.]38	Bulgaria	67 件	Link
185[.]202[.]1[.]36	France	52 件	Link
185[.]153[.]196[.]99	Russia	39 件	Link
185[.]202[.]2[.]149	France	29 件	Link

Port 1433

IP	Country	Count	AbuseIPDB
183[.]131[.]85[.]18	China	68141 件	Link
115[.]75[.]48[.]138	Vietnam	38075 件	Link
185[.]229[.]9[.]135	Russia	35302 件	Link
221[.]215[.]205[.]122	China	26690 件	Link
106[.]3[.]43[.]25	China	23239 件	Link
45[.]112[.]54[.]146	India	22158 件	Link
93[.]81[.]205[.]42	Russia	22153 件	Link
170[.]80[.]181[.]138	Brazil	19412 件	Link
43[.]231[.]62[.]86	Pakistan	16406 件	Link
60[.]170[.]0[.]30	China	9597 件	Link
112[.]115[.]227[.]213	China	8019 件	Link
125[.]132[.]176[.]126	South Korea	7516 件	Link
1[.]55[.]226[.]68	Vietnam	6216 件	Link
60[.]170[.]0[.]6	China	6122 件	Link
14[.]249[.]158[.]244	Vietnam	4890 件	Link
190[.]203[.]255[.]231	Venezuela	3305 件	Link
27[.]5[.]198[.]48	India	3081 件	Link
80[.]210[.]36[.]62	Iran	2246 件	Link
27[.]79[.]183[.]53	Vietnam	1670 件	Link
201[.]210[.]93[.]82	Venezuela	1592 件	Link

sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/21)

Port(TOP20)

IP(TOP20)

URI Path

NEW URI Path

01 Honeytrap

02 WOWHoneypot

03 WOWHoneypot(SSL)

URI Path

Malware

RDP

Port/IP

Port

IP

Port 1433