【ハニーポット簡易分析】Honeypot簡易分析(2020/4/21)
タイから1万件近いRDPへの通信を検知してました。
Port(TOP20)
- Honeytrap
Port | Service | Count |
---|---|---|
1433 | Microsoft-SQL-Server | 329558 件 |
3391 | SAVANT | 8427 件 |
3390 | Distributed Service Coordinator | 3692 件 |
22 | The Secure Shell (SSH) Protocol | 1772 件 |
445 | Microsoft-DS | 1705 件 |
5001 | Unknown | 89 件 |
3389 | MS WBT Server | 82 件 |
2001 | Unknown | 74 件 |
4911 | Unknown | 72 件 |
52869 | Realtek SDK miniigd SOAP Service | 55 件 |
8291 | Unknown | 44 件 |
8080 | HTTP Alternate (see port 80) | 42 件 |
5555 | Android Debug Bridge | 40 件 |
5672 | AMQP | 38 件 |
9527 | Unknown | 37 件 |
81 | Unknown | 35 件 |
5222 | XMPP Client Connection | 33 件 |
5432 | PostgreSQL Database | 33 件 |
5984 | CouchDB | 30 件 |
8088 | Radan HTTP | 22 件 |
IP(TOP20)
01 Honeytrap
IP | Country | Count | AbuseIPDB |
---|---|---|---|
183[.]131[.]85[.]18 | China | 68141 件 | Link |
115[.]75[.]48[.]138 | Vietnam | 38075 件 | Link |
185[.]229[.]9[.]135 | Russia | 35302 件 | Link |
221[.]215[.]205[.]122 | China | 26690 件 | Link |
106[.]3[.]43[.]25 | China | 23239 件 | Link |
45[.]141[.]87[.]27 | Russia | 22792 件 | Link |
45[.]112[.]54[.]146 | India | 22158 件 | Link |
93[.]81[.]205[.]42 | Russia | 22153 件 | Link |
170[.]80[.]181[.]138 | Brazil | 19412 件 | Link |
43[.]231[.]62[.]86 | Pakistan | 16406 件 | Link |
185[.]202[.]1[.]19 | France | 11068 件 | Link |
60[.]170[.]0[.]30 | China | 9597 件 | Link |
27[.]254[.]207[.]47 | Thailand | 9448 件 | Link |
112[.]115[.]227[.]213 | China | 8019 件 | Link |
125[.]132[.]176[.]126 | South Korea | 7516 件 | Link |
1[.]55[.]226[.]68 | Vietnam | 6216 件 | Link |
60[.]170[.]0[.]6 | China | 6122 件 | Link |
198[.]108[.]67[.]48 | United States | 5802 件 | Link |
14[.]249[.]158[.]244 | Vietnam | 4890 件 | Link |
190[.]203[.]255[.]231 | Venezuela | 3305 件 | Link |
02 WOWHoneypot
IP | Country | Count | AbuseIPDB |
---|---|---|---|
45[.]146[.]253[.]35 | Germany | 27 件 | Link |
77[.]247[.]108[.]119 | Estonia | 7 件 | Link |
125[.]212[.]217[.]214 | Vietnam | 5 件 | Link |
177[.]139[.]171[.]190 | Brazil | 2 件 | Link |
80[.]24[.]44[.]11 | Spain | 1 件 | Link |
192[.]241[.]238[.]154 | United States | 1 件 | Link |
89[.]40[.]73[.]87 | Romania | 1 件 | Link |
45[.]13[.]93[.]90 | Germany | 1 件 | Link |
51[.]38[.]57[.]199 | France | 1 件 | Link |
45[.]238[.]208[.]3 | Brazil | 1 件 | Link |
45[.]148[.]10[.]72 | Netherlands | 1 件 | Link |
45[.]176[.]125[.]41 | Brazil | 1 件 | Link |
46[.]2[.]240[.]152 | Turkey | 1 件 | Link |
185[.]216[.]140[.]6 | Netherlands | 1 件 | Link |
80[.]82[.]78[.]104 | Netherlands | 1 件 | Link |
162[.]243[.]129[.]170 | United States | 1 件 | Link |
178[.]93[.]17[.]210 | Ukraine | 1 件 | Link |
196[.]52[.]43[.]59 | South Africa | 1 件 | Link |
206[.]192[.]81[.]22 | United States | 1 件 | Link |
193[.]242[.]212[.]101 | Poland | 1 件 | Link |
03 WOWHoneypot(SSL)
IP | Country | Count | AbuseIPDB |
---|---|---|---|
45[.]146[.]253[.]35 | Germany | 27 件 | Link |
77[.]247[.]108[.]119 | Estonia | 7 件 | Link |
125[.]212[.]217[.]214 | Vietnam | 5 件 | Link |
177[.]139[.]171[.]190 | Brazil | 2 件 | Link |
80[.]24[.]44[.]11 | Spain | 1 件 | Link |
192[.]241[.]238[.]154 | United States | 1 件 | Link |
89[.]40[.]73[.]87 | Romania | 1 件 | Link |
45[.]13[.]93[.]90 | Germany | 1 件 | Link |
51[.]38[.]57[.]199 | France | 1 件 | Link |
45[.]238[.]208[.]3 | Brazil | 1 件 | Link |
45[.]148[.]10[.]72 | Netherlands | 1 件 | Link |
45[.]176[.]125[.]41 | Brazil | 1 件 | Link |
46[.]2[.]240[.]152 | Turkey | 1 件 | Link |
185[.]216[.]140[.]6 | Netherlands | 1 件 | Link |
80[.]82[.]78[.]104 | Netherlands | 1 件 | Link |
162[.]243[.]129[.]170 | United States | 1 件 | Link |
178[.]93[.]17[.]210 | Ukraine | 1 件 | Link |
196[.]52[.]43[.]59 | South Africa | 1 件 | Link |
206[.]192[.]81[.]22 | United States | 1 件 | Link |
193[.]242[.]212[.]101 | Poland | 1 件 | Link |
URI Path
NEW URI Path
01 Honeytrap
URI Path | Target | CVE | Memo |
---|---|---|---|
/live/CPEManager/AXCampaignManager/delet e_cpes_by_ids |
CNM SecuManager | - | - |
/_ping | Unknown | - | - |
/PSBlock | Supermicro IPMI | - | - |
/apply_sec[.]cgi | D-Link WiFi Router | CVE-2019-16920 | - |
/v1[.]40/containers/json | Docker Engine API, | - | - |
/public/hydra[.]php | Webshell | - | - |
02 WOWHoneypot
URI Path | Target | CVE | Memo |
---|---|---|---|
//wp-content/plugins/apikey/apikey[.]php | Wordpress | - | - |
03 WOWHoneypot(SSL)
URI Path | Target | CVE | Memo |
---|---|---|---|
- | - | - | - |
URI Path
01 Honeytrap
URI Path | Target | CVE | Count |
---|---|---|---|
No uri path | - | - | 389952 件 |
/ | - | - | 2297 件 |
/picsdesc[.]xml | Realtek SDK | CVE-2014-8361 | 55 件 |
/ctrlt/DeviceUpgrade_1 | Huawei Home Device | - | 16 件 |
/ws/v1/cluster/apps/new-application | Apache Hadoop | - | 15 件 |
/cgi | CGI | - | 14 件 |
login[.]cgi | D-Link Router | - | 9 件 |
sip:nm | Session Initiation Protocol | - | 8 件 |
/live/CPEManager/AXCampaignManager/delet e_cpes_by_ids |
New | - | 7 件 |
/nice | - | - | 7 件 |
/manager/html | Apache Tomcat Manager | - | 5 件 |
hxxp://clientapi[.]ipip[.]net/echo[.]php | Unauthorized relay | - | 5 件 |
/shell | MVPower DVR | - | 5 件 |
/admin/assets/js/views/login[.]js | FreePBX | - | 4 件 |
/version | - | - | 3 件 |
/jmx | JMX | - | 3 件 |
hxxp://example[.]com/ | Unauthorized relay | - | 2 件 |
/wls-wsat/CoordinatorPortType11 | Weblogic | CVE-2017-10271 | 2 件 |
/hazelcast/rest/cluster | Open-Xchange AppSuite | CVE-2013-5936 | 2 件 |
/server-info | Apache | - | 2 件 |
/_ping | New | - | 2 件 |
/public/index[.]php | - | - | 2 件 |
/GponForm/diag_Form | DASAN Network Solutions | CVE-2018-10561 | 1 件 |
/manager/text/list | Apache Tomcat Manager | - | 1 件 |
hxxp://www[.]baidu[.]com/ | Unauthorized relay | - | 1 件 |
hxxp://www[.]bgex[.]com/ | Unauthorized relay | - | 1 件 |
/PSBlock | New | - | 1 件 |
/solr/admin/cores | Apache Solr | - | 1 件 |
/_search | Elasticsearch | - | 1 件 |
/solr/admin/info/system | Apache Solr | - | 1 件 |
/apply_sec[.]cgi | New | - | 1 件 |
/json_rpc | JSON-RPC | - | 1 件 |
/hudson | Unknown | - | 1 件 |
hxxp://chek[.]zennolab[.]com/proxy[.]php | Unauthorized relay | - | 1 件 |
/jars | Unknown | - | 1 件 |
/service/extdirect | Sonatype Nexus Repository Manager | CVE-2019-7238 | 1 件 |
/admin-scripts[.]asp | Administrator | - | 1 件 |
/v1[.]40/containers/json | New | - | 1 件 |
rtsp://160[.]16[.]145[.]183:554/ | Real Time Streaming Protocol | - | 1 件 |
/v2/stats/self | ETCD API | - | 1 件 |
/info | - | - | 1 件 |
/public/hydra[.]php | New | - | 1 件 |
SERVER | - | - | 1 件 |
/tmUnblock[.]cgi | Linksys E-series | - | 1 件 |
/stats | - | - | 1 件 |
/db/manage/ | Database | - | 1 件 |
/_cat/indices | Elasticsearch | - | 1 件 |
02 WOWHoneypot
URI Path | Target | CVE | Count |
---|---|---|---|
/ | - | - | 21 件 |
/phpMyAdmin/scripts/setup[.]php | phpMyAdmin | - | 21 件 |
/cgi-bin/mainfunction[.]cgi | DrayTek | CVE-2020-8515 | 13 件 |
/admin/assets/js/views/login[.]js | FreePBX | - | 7 件 |
ip[.]ws[.]126[.]net:443 | Unauthorized Relay | - | 2 件 |
/manager/html | Apache Tomcat Manager | - | 1 件 |
/phpmyadmin/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
/pma/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
/mysql/scripts/setup[.]php | MySQL | - | 1 件 |
/myadmin/scripts/setup[.]php | Administrator | - | 1 件 |
/sqladmin/scripts/setup[.]php | SQLAdmin | - | 1 件 |
/db/scripts/setup[.]php | Database | - | 1 件 |
hxxp://example[.]com/ | Unauthorized relay | - | 1 件 |
/hudson | Unknown | - | 1 件 |
/robots[.]txt | robots.txt | - | 1 件 |
/sitemap[.]xml | XML sitemap | - | 1 件 |
/[.]well-known/security[.]txt | Hidden files | - | 1 件 |
/favicon[.]ico | favicon | - | 1 件 |
/boaform/admin/formPing | Administrator | - | 1 件 |
//wp-content/plugins/apikey/apikey[.]php | New | - | 1 件 |
/portal/redlion | Unknown | - | 1 件 |
03 WOWHoneypot(SSL)
URI Path | Target | CVE | Count |
---|---|---|---|
/admin/assets/js/views/login[.]js | FreePBX | - | 6 件 |
/ | - | - | 6 件 |
/data[.]php | - | - | 1 件 |
/ajax | - | - | 1 件 |
/owa/auth/logon[.]aspx | Microsoft Exchange Server | CVE-2018-16793 | 1 件 |
Malware
- Honeytrap
Malware | Count |
---|---|
No Malware | 392388 件 |
hxxp://178[.]33[.]64[.]107/arm7 | 13 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 12 件 |
hxxp://51[.]178[.]81[.]75/mips | 11 件 |
hxxp://176[.]123[.]3[.]96/arm7 | 5 件 |
hxxp://80[.]211[.]230[.]27:1691/dvrbot[.]arm7 | 3 件 |
hxxp://fid[.]hognoob[.]se/download[.]exe | 2 件 |
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]m | 1 件 |
hxxp://37[.]49[.]226[.]43/infect | 1 件 |
hxxp://19ce033f[.]ngrok[.]io/arm7 | 1 件 |
hxxp://185[.]172[.]110[.]232/Cloud[.]mips | 1 件 |
hxxp://185[.]62[.]189[.]18/jaws[.]sh | 1 件 |
hxxp://212[.]114[.]52[.]128/arm7 | 1 件 |
hxxp://51[.]222[.]0[.]40/bins/mpsl | 1 件 |
hxxp://178[.]32[.]148[.]5/arm7 | 1 件 |
RDP
Port/IP
Port | IP | Country | Count | AbuseIPDB |
---|---|---|---|---|
3391 | 27[.]254[.]207[.]47 | Thailand | 7090 件 | Link |
3390 | 27[.]254[.]207[.]47 | Thailand | 2358 件 | Link |
3391 | 209[.]45[.]61[.]241 | Peru | 1321 件 | Link |
3390 | 209[.]45[.]61[.]241 | Peru | 1319 件 | Link |
29497 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
17532 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
19542 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
18584 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
18952 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
28169 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
22221 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
22046 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
17607 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
22541 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
29753 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
28069 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
17854 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
22850 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
22863 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
29572 | 45[.]141[.]87[.]27 | Russia | 8 件 | Link |
Port
Port | Count |
---|---|
3391 | 8427 件 |
3390 | 3692 件 |
3389 | 65 件 |
3380 | 13 件 |
3392 | 12 件 |
3387 | 12 件 |
3384 | 12 件 |
22894 | 12 件 |
23489 | 12 件 |
23313 | 12 件 |
24351 | 12 件 |
23933 | 11 件 |
23195 | 11 件 |
18193 | 11 件 |
23266 | 11 件 |
17161 | 11 件 |
23333 | 11 件 |
18410 | 11 件 |
23320 | 11 件 |
24441 | 11 件 |
IP
IP | Country | Count | AbuseIPDB |
---|---|---|---|
45[.]141[.]87[.]27 | Russia | 22792 件 | Link |
185[.]202[.]1[.]19 | France | 11068 件 | Link |
27[.]254[.]207[.]47 | Thailand | 9448 件 | Link |
209[.]45[.]61[.]241 | Peru | 2640 件 | Link |
185[.]202[.]1[.]189 | France | 1320 件 | Link |
185[.]202[.]2[.]120 | France | 1035 件 | Link |
185[.]202[.]1[.]85 | France | 889 件 | Link |
185[.]202[.]1[.]248 | France | 858 件 | Link |
185[.]202[.]1[.]10 | France | 797 件 | Link |
185[.]202[.]1[.]249 | France | 464 件 | Link |
185[.]202[.]1[.]188 | France | 173 件 | Link |
92[.]63[.]194[.]241 | Russia | 82 件 | Link |
92[.]63[.]194[.]21 | Russia | 79 件 | Link |
185[.]153[.]196[.]239 | Russia | 77 件 | Link |
185[.]153[.]199[.]87 | Russia | 74 件 | Link |
185[.]153[.]199[.]81 | Russia | 73 件 | Link |
79[.]124[.]62[.]38 | Bulgaria | 67 件 | Link |
185[.]202[.]1[.]36 | France | 52 件 | Link |
185[.]153[.]196[.]99 | Russia | 39 件 | Link |
185[.]202[.]2[.]149 | France | 29 件 | Link |
Port 1433
IP | Country | Count | AbuseIPDB |
---|---|---|---|
183[.]131[.]85[.]18 | China | 68141 件 | Link |
115[.]75[.]48[.]138 | Vietnam | 38075 件 | Link |
185[.]229[.]9[.]135 | Russia | 35302 件 | Link |
221[.]215[.]205[.]122 | China | 26690 件 | Link |
106[.]3[.]43[.]25 | China | 23239 件 | Link |
45[.]112[.]54[.]146 | India | 22158 件 | Link |
93[.]81[.]205[.]42 | Russia | 22153 件 | Link |
170[.]80[.]181[.]138 | Brazil | 19412 件 | Link |
43[.]231[.]62[.]86 | Pakistan | 16406 件 | Link |
60[.]170[.]0[.]30 | China | 9597 件 | Link |
112[.]115[.]227[.]213 | China | 8019 件 | Link |
125[.]132[.]176[.]126 | South Korea | 7516 件 | Link |
1[.]55[.]226[.]68 | Vietnam | 6216 件 | Link |
60[.]170[.]0[.]6 | China | 6122 件 | Link |
14[.]249[.]158[.]244 | Vietnam | 4890 件 | Link |
190[.]203[.]255[.]231 | Venezuela | 3305 件 | Link |
27[.]5[.]198[.]48 | India | 3081 件 | Link |
80[.]210[.]36[.]62 | Iran | 2246 件 | Link |
27[.]79[.]183[.]53 | Vietnam | 1670 件 | Link |
201[.]210[.]93[.]82 | Venezuela | 1592 件 | Link |