【ハニーポット簡易分析】Honeypot簡易分析(2020/4/24)
Microsoft SharePoint における脆弱性(CVE-2019-0604)の調査行為を検知していました。
Port(TOP20)
- Honeytrap
| Port | Service | Count |
|---|---|---|
| 1433 | Microsoft-SQL-Server | 216775 件 |
| 445 | Microsoft-DS | 1546 件 |
| 22 | The Secure Shell (SSH) Protocol | 1370 件 |
| 3391 | SAVANT | 434 件 |
| 3390 | Distributed Service Coordinator | 346 件 |
| 502 | Modbus Application Protocol | 259 件 |
| 6000 | Unknown | 198 件 |
| 3389 | MS WBT Server | 179 件 |
| 1723 | pptp | 138 件 |
| 5555 | Android Debug Bridge | 87 件 |
| 6001 | Unknown | 80 件 |
| 4022 | DNOX | 78 件 |
| 81 | Unknown | 72 件 |
| 8443 | PCsync HTTPS | 66 件 |
| 52869 | Realtek SDK miniigd SOAP Service | 65 件 |
| 8080 | HTTP Alternate (see port 80) | 62 件 |
| 4588 | Unknown | 52 件 |
| 27017 | Mongo database system | 50 件 |
| 7777 | cbt | 47 件 |
| 623 | DMTF out-of-band web services management protocol | 46 件 |
IP(TOP20)
01 Honeytrap
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 211[.]233[.]86[.]9 | South Korea | 47244 件 | Link |
| 27[.]123[.]0[.]118 | Indonesia | 42768 件 | Link |
| 113[.]165[.]233[.]194 | Vietnam | 26668 件 | Link |
| 116[.]236[.]116[.]52 | China | 25686 件 | Link |
| 185[.]202[.]1[.]19 | France | 11774 件 | Link |
| 46[.]98[.]1[.]108 | Ukraine | 9317 件 | Link |
| 116[.]22[.]196[.]179 | China | 6072 件 | Link |
| 46[.]30[.]161[.]235 | Ukraine | 5975 件 | Link |
| 203[.]81[.]76[.]246 | Myanmar | 5806 件 | Link |
| 101[.]28[.]3[.]65 | China | 5615 件 | Link |
| 203[.]210[.]197[.]130 | Vietnam | 5003 件 | Link |
| 180[.]249[.]133[.]138 | Indonesia | 4682 件 | Link |
| 124[.]81[.]84[.]130 | Indonesia | 4642 件 | Link |
| 113[.]203[.]251[.]209 | Pakistan | 4575 件 | Link |
| 27[.]203[.]232[.]72 | China | 4414 件 | Link |
| 91[.]226[.]190[.]33 | Ukraine | 4061 件 | Link |
| 78[.]85[.]5[.]145 | Russia | 2693 件 | Link |
| 27[.]255[.]58[.]30 | Pakistan | 2477 件 | Link |
| 114[.]64[.]253[.]98 | China | 2462 件 | Link |
| 95[.]171[.]17[.]32 | Russia | 2128 件 | Link |
02 WOWHoneypot
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 185[.]128[.]41[.]50 | Switzerland | 45 件 | Link |
| 218[.]108[.]72[.]2 | China | 32 件 | Link |
| 202[.]107[.]202[.]86 | China | 32 件 | Link |
| 77[.]247[.]108[.]119 | Estonia | 8 件 | Link |
| 42[.]200[.]207[.]42 | Hong Kong | 6 件 | Link |
| 35[.]225[.]205[.]210 | United States | 6 件 | Link |
| 195[.]53[.]63[.]178 | Spain | 6 件 | Link |
| 104[.]225[.]218[.]14 | United States | 6 件 | Link |
| 183[.]136[.]225[.]45 | China | 4 件 | Link |
| 36[.]26[.]70[.]136 | China | 4 件 | Link |
| 80[.]82[.]78[.]104 | Netherlands | 2 件 | Link |
| 85[.]105[.]194[.]223 | Turkey | 1 件 | Link |
| 162[.]243[.]129[.]224 | United States | 1 件 | Link |
| 45[.]195[.]146[.]140 | Hong Kong | 1 件 | Link |
| 73[.]36[.]129[.]198 | United States | 1 件 | Link |
| 128[.]14[.]133[.]58 | United States | 1 件 | Link |
| 176[.]202[.]25[.]11 | Qatar | 1 件 | Link |
| 117[.]196[.]235[.]118 | India | 1 件 | Link |
| 45[.]13[.]93[.]90 | Germany | 1 件 | Link |
| 45[.]13[.]93[.]82 | Germany | 1 件 | Link |
03 WOWHoneypot(SSL)
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 185[.]128[.]41[.]50 | Switzerland | 45 件 | Link |
| 218[.]108[.]72[.]2 | China | 32 件 | Link |
| 202[.]107[.]202[.]86 | China | 32 件 | Link |
| 77[.]247[.]108[.]119 | Estonia | 8 件 | Link |
| 42[.]200[.]207[.]42 | Hong Kong | 6 件 | Link |
| 35[.]225[.]205[.]210 | United States | 6 件 | Link |
| 195[.]53[.]63[.]178 | Spain | 6 件 | Link |
| 104[.]225[.]218[.]14 | United States | 6 件 | Link |
| 183[.]136[.]225[.]45 | China | 4 件 | Link |
| 36[.]26[.]70[.]136 | China | 4 件 | Link |
| 80[.]82[.]78[.]104 | Netherlands | 2 件 | Link |
| 85[.]105[.]194[.]223 | Turkey | 1 件 | Link |
| 162[.]243[.]129[.]224 | United States | 1 件 | Link |
| 45[.]195[.]146[.]140 | Hong Kong | 1 件 | Link |
| 73[.]36[.]129[.]198 | United States | 1 件 | Link |
| 128[.]14[.]133[.]58 | United States | 1 件 | Link |
| 176[.]202[.]25[.]11 | Qatar | 1 件 | Link |
| 117[.]196[.]235[.]118 | India | 1 件 | Link |
| 45[.]13[.]93[.]90 | Germany | 1 件 | Link |
| 45[.]13[.]93[.]82 | Germany | 1 件 | Link |
URI Path
NEW URI Path
01 Honeytrap
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| /remote/login | VPN Login | - | - |
| /index[.]asp | index | - | - |
| /htmlV/welcomeMain[.]htm | Verizon Modem Router | - | - |
| /setup/index[.]jsp | Openfire Server 3.6.0a | - | - |
| /sdk | Nmap(vmware) | - | - |
| /smb_scheduler/cdr[.]htm | SIM Bank Scheduler Server | - | - |
02 WOWHoneypot
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| /remote/login | VPN Login | - | - |
| /index[.]asp | index | - | - |
| /htmlV/welcomeMain[.]htm | Verizon Modem Router | - | - |
| /Temporary_Listen_Addresses/SMSSERVICE | Microsoft SharePoint | CVE-2019-0604 | - |
03 WOWHoneypot(SSL)
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| /remote/login | VPN Login | - | - |
| /index[.]asp | index | - | - |
| /htmlV/welcomeMain[.]htm | Verizon Modem Router | - | - |
URI Path
01 Honeytrap
| URI Path | Target | CVE | Count |
|---|---|---|---|
| No uri path | - | - | 239495 件 |
| / | - | - | 602 件 |
| /index[.]action | Apache Struts 2 | CVE-2017-5638 | 74 件 |
| /picsdesc[.]xml | Realtek SDK | CVE-2014-8361 | 65 件 |
| login[.]cgi | D-Link Router | - | 40 件 |
| /nice | - | - | 24 件 |
| sip:nm | Session Initiation Protocol | - | 24 件 |
| /ws/v1/cluster/apps/new-application | Apache Hadoop | - | 21 件 |
| /ctrlt/DeviceUpgrade_1 | Huawei Home Device | - | 18 件 |
| /live/CPEManager/AXCampaignManager/delet e_cpes_by_ids |
Zyxel CNM SecuManager | - | 9 件 |
| hxxp://112[.]35[.]88[.]28:8088/index[.]p hp |
- | - | 9 件 |
| hxxp://112[.]35[.]66[.]7:8088/index[.]ph p |
- | - | 8 件 |
| hxxp://112[.]35[.]63[.]31:8088/index[.]p hp |
- | - | 8 件 |
| /cgi | CGI | - | 7 件 |
| /version | - | - | 6 件 |
| hxxp://clientapi[.]ipip[.]net/echo[.]php | Unauthorized relay | - | 5 件 |
| /shell | MVPower DVR | - | 5 件 |
| /cgi-bin/luci | CGI | - | 5 件 |
| /dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 5 件 |
| /remote/login | New | - | 5 件 |
| /index[.]asp | New | - | 5 件 |
| /htmlV/welcomeMain[.]htm | New | - | 5 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 4 件 |
| hxxp://123[.]125[.]114[.]144/ | Unauthorized relay | - | 4 件 |
| /_search | Elasticsearch | - | 4 件 |
| hxxp://example[.]com/ | Unauthorized relay | - | 3 件 |
| hxxp://112[.]35[.]53[.]83:8088/index[.]p hp |
- | - | 3 件 |
| /service/extdirect | Sonatype Nexus Repository Manager | CVE-2019-7238 | 2 件 |
| /jars | Unknown | - | 2 件 |
| /slave | Unknown | - | 2 件 |
| /api | api | - | 2 件 |
| /api/v1/targets | api | - | 2 件 |
| /api/v1/label/version/values | api | - | 2 件 |
| hxxp://112[.]124[.]42[.]80:63435/ | Unauthorized relay | - | 2 件 |
| /wls-wsat/CoordinatorPortType11 | Weblogic | CVE-2017-10271 | 2 件 |
| /_ping | Unknown | - | 2 件 |
| /nmaplowercheck1587732126 | Nmap | - | 2 件 |
| /setup/index[.]jsp | New | - | 1 件 |
| /info | - | - | 1 件 |
| /solr/admin/cores | Apache Solr | - | 1 件 |
| /console | - | - | 1 件 |
| /hazelcast/rest/cluster | Open-Xchange AppSuite | CVE-2013-5936 | 1 件 |
| SERVER | - | - | 1 件 |
| /server-info | Apache | - | 1 件 |
| /stats | - | - | 1 件 |
| /db/manage/ | Database | - | 1 件 |
| /PSBlock | Supermicro IPMI | - | 1 件 |
| /v1[.]16/version | - | - | 1 件 |
| /TP/public/index[.]php | - | - | 1 件 |
| /users | - | - | 1 件 |
| hxxp://aandetransportandrecovery[.]co[.] uk/ |
Unauthorized relay | - | 1 件 |
| /status | - | 2020/2/15 | 1 件 |
| /securityRealm/user/admin/search/index | Administrator | - | 1 件 |
| /v1[.]40/containers/json | Docker Engine API | - | 1 件 |
| /sdk | New | - | 1 件 |
| /evox/about | Nmap | - | 1 件 |
| /HNAP1 | Linksys Router | D-Link Router | 1 件 |
| /solr/admin/info/system | Apache Solr | - | 1 件 |
| /jmx | JMX | - | 1 件 |
| /manager | Apache Tomcat Manager | - | 1 件 |
| /smb_scheduler/cdr[.]htm | New | - | 1 件 |
| /ws/v1/cluster | Apache Hadoop | - | 1 件 |
| /admin/test/systemProperties[.]jsp | Administrator | - | 1 件 |
| /hudson | Unknown | - | 1 件 |
02 WOWHoneypot
| URI Path | Target | CVE | Count |
|---|---|---|---|
| /index[.]action | Apache Struts 2 | CVE-2017-5638 | 60 件 |
| / | - | - | 45 件 |
| /manager/html | Apache Tomcat Manager | - | 45 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 8 件 |
| /cgi-bin/mainfunction[.]cgi | DrayTek | CVE-2020-8515 | 7 件 |
| /cgi-bin/luci | CGI | - | 4 件 |
| /dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 4 件 |
| /remote/login | New | - | 4 件 |
| /index[.]asp | New | - | 4 件 |
| /htmlV/welcomeMain[.]htm | New | - | 4 件 |
| /TP/public/index[.]php | - | - | 3 件 |
| ip[.]ws[.]126[.]net:443 | Unauthorized Relay | - | 2 件 |
| /Temporary_Listen_Addresses/SMSSERVICE | New | - | 1 件 |
| /portal/redlion | Unknown | - | 1 件 |
| /adv,/cgi-bin/weblogin[.]cgi | Zyxel NAS | CVE-2020-9054 | 1 件 |
| /status | - | 2020/2/15 | 1 件 |
| /hudson | Unknown | - | 1 件 |
03 WOWHoneypot(SSL)
| URI Path | Target | CVE | Count |
|---|---|---|---|
| / | - | - | 30 件 |
| /remote/login | New | - | 9 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 8 件 |
| /dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 8 件 |
| /cgi-bin/luci | CGI | - | 8 件 |
| /index[.]asp | New | - | 7 件 |
| /htmlV/welcomeMain[.]htm | New | - | 6 件 |
| /vendor/phpunit/phpunit/src/Util/PHP/eva l-stdin[.]php |
PHPUnit | CVE-2017-9841 | 2 件 |
| /ajax | - | - | 1 件 |
| /data[.]php | - | - | 1 件 |
| /login[.]htm | Login Page | - | 1 件 |
| /index[.]php | - | - | 1 件 |
| /owa/auth/logon[.]aspx | Microsoft Exchange Server | CVE-2018-16793 | 1 件 |
Malware
- Honeytrap
| Malware | Count |
|---|---|
| No Malware | 240466 件 |
| hxxp://51[.]255[.]170[.]237/pandora[.]mips | 11 件 |
| hxxp://178[.]33[.]64[.]107/arm7 | 10 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 8 件 |
| hxxp://80[.]211[.]110[.]143:1691/dvrbot[.]arm7 | 3 件 |
| hxxp://176[.]123[.]3[.]96/arm7 | 3 件 |
| hxxp://190[.]115[.]18[.]144/sh/wget | 2 件 |
| hxxp://212[.]114[.]52[.]128/arm7 | 2 件 |
| hxxp://pm[.]cpuminerpool[.]com/pm[.]sh | 1 件 |
| hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh | 1 件 |
| hxxp://185[.]172[.]110[.]224/ab/arm7 | 1 件 |
| hxxp://178[.]32[.]148[.]5/arm7 | 1 件 |
| hxxp://185[.]62[.]189[.]18/jaws[.]sh | 1 件 |
RDP
Port/IP
| Port | IP | Country | Count | AbuseIPDB |
|---|---|---|---|---|
| 3390 | 209[.]45[.]61[.]241 | Peru | 332 件 | Link |
| 3391 | 209[.]45[.]61[.]241 | Peru | 331 件 | Link |
| 3389 | 95[.]47[.]248[.]84 | Ukraine | 80 件 | Link |
| 5366 | 185[.]202[.]1[.]101 | France | 16 件 | Link |
| 3389 | 150[.]138[.]119[.]11 | China | 9 件 | Link |
| 3389 | 13[.]67[.]178[.]244 | United States | 8 件 | Link |
| 3389 | 83[.]48[.]94[.]126 | Spain | 7 件 | Link |
| 3389 | 211[.]195[.]9[.]145 | South Korea | 6 件 | Link |
| 23961 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 17146 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 23753 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 25453 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 19912 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 18398 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 25239 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 18144 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 18291 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 18752 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 24341 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 24672 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
Port
| Port | Count |
|---|---|
| 3390 | 346 件 |
| 3391 | 341 件 |
| 3389 | 170 件 |
| 5366 | 16 件 |
| 3392 | 10 件 |
| 6000 | 10 件 |
| 3388 | 7 件 |
| 18144 | 6 件 |
| 18399 | 6 件 |
| 24744 | 6 件 |
| 16923 | 6 件 |
| 24110 | 6 件 |
| 3393 | 6 件 |
| 17146 | 5 件 |
| 18398 | 5 件 |
| 24077 | 5 件 |
| 19573 | 5 件 |
| 25227 | 5 件 |
| 17324 | 5 件 |
| 24267 | 5 件 |
IP
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 185[.]202[.]1[.]19 | France | 11774 件 | Link |
| 185[.]158[.]113[.]43 | Russia | 1480 件 | Link |
| 185[.]202[.]2[.]120 | France | 967 件 | Link |
| 185[.]202[.]1[.]10 | France | 831 件 | Link |
| 185[.]202[.]1[.]217 | France | 732 件 | Link |
| 185[.]202[.]1[.]85 | France | 704 件 | Link |
| 209[.]45[.]61[.]241 | Peru | 663 件 | Link |
| 195[.]54[.]167[.]115 | Russia | 94 件 | Link |
| 185[.]202[.]1[.]183 | France | 83 件 | Link |
| 95[.]47[.]248[.]84 | Ukraine | 80 件 | Link |
| 185[.]202[.]0[.]25 | United Kingdom | 61 件 | Link |
| 91[.]241[.]19[.]173 | Russia | 48 件 | Link |
| 185[.]202[.]1[.]28 | France | 36 件 | Link |
| 185[.]153[.]196[.]99 | Russia | 28 件 | Link |
| 185[.]202[.]1[.]187 | France | 27 件 | Link |
| 92[.]63[.]194[.]70 | Russia | 25 件 | Link |
| 185[.]202[.]1[.]101 | France | 16 件 | Link |
| 41[.]216[.]186[.]89 | St Kitts and Nevis | 13 件 | Link |
| 185[.]176[.]222[.]39 | Latvia | 13 件 | Link |
| 185[.]153[.]199[.]12 | Russia | 11 件 | Link |
Port 1433
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 211[.]233[.]86[.]9 | South Korea | 47244 件 | Link |
| 27[.]123[.]0[.]118 | Indonesia | 42768 件 | Link |
| 113[.]165[.]233[.]194 | Vietnam | 26668 件 | Link |
| 116[.]236[.]116[.]52 | China | 25686 件 | Link |
| 46[.]98[.]1[.]108 | Ukraine | 9317 件 | Link |
| 116[.]22[.]196[.]179 | China | 6072 件 | Link |
| 46[.]30[.]161[.]235 | Ukraine | 5975 件 | Link |
| 203[.]81[.]76[.]246 | Myanmar | 5806 件 | Link |
| 101[.]28[.]3[.]65 | China | 5615 件 | Link |
| 203[.]210[.]197[.]130 | Vietnam | 5003 件 | Link |
| 180[.]249[.]133[.]138 | Indonesia | 4682 件 | Link |
| 124[.]81[.]84[.]130 | Indonesia | 4642 件 | Link |
| 113[.]203[.]251[.]209 | Pakistan | 4575 件 | Link |
| 27[.]203[.]232[.]72 | China | 4414 件 | Link |
| 91[.]226[.]190[.]33 | Ukraine | 4061 件 | Link |
| 78[.]85[.]5[.]145 | Russia | 2693 件 | Link |
| 27[.]255[.]58[.]30 | Pakistan | 2477 件 | Link |
| 114[.]64[.]253[.]98 | China | 2462 件 | Link |
| 95[.]171[.]17[.]32 | Russia | 2128 件 | Link |
| 182[.]0[.]132[.]185 | Indonesia | 1771 件 | Link |
