sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/25)

特に変わった通信なく、平和回でした。

Port(TOP20)

  1. Honeytrap
Port Service Count
1433 Microsoft-SQL-Server 324241 件
22 The Secure Shell (SSH) Protocol 4836 件
445 Microsoft-DS 2277 件
3389 MS WBT Server 577 件
33022 Unknown 224 件
789 Unknown 165 件
4070 Trivial IP Encryption (TrIPE) 75 件
22222 EasyEngine is CLI tool to manage WordPress Sites on Nginx server 74 件
2455 WAGO-IO-SYSTEM 71 件
9200 WAP connectionless session service 68 件
47808 Building Automation and Control Networks 67 件
1962 BIAP-MP 66 件
123 Network Time Protocol 63 件
4911 Unknown 62 件
5555 Android Debug Bridge 58 件
81 Unknown 58 件
1200 SCOL 54 件
8080 HTTP Alternate (see port 80) 52 件
7070 ARCP 52 件
4800 Icona Instant Messenging System 52 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
116[.]236[.]116[.]52 China 63009 件 Link
182[.]71[.]11[.]173 India 48434 件 Link
27[.]123[.]0[.]118 Indonesia 46904 件 Link
211[.]233[.]86[.]9 South Korea 42453 件 Link
45[.]141[.]87[.]27 Russia 29414 件 Link
116[.]22[.]196[.]179 China 24705 件 Link
83[.]209[.]70[.]50 Sweden 16497 件 Link
104[.]222[.]32[.]232 United States 15055 件 Link
1[.]168[.]12[.]85 Taiwan 13478 件 Link
185[.]202[.]1[.]19 France 12772 件 Link
185[.]202[.]1[.]189 France 11654 件 Link
113[.]165[.]233[.]194 Vietnam 11145 件 Link
27[.]255[.]58[.]30 Pakistan 7559 件 Link
118[.]172[.]54[.]237 Thailand 6012 件 Link
1[.]22[.]43[.]99 India 4978 件 Link
91[.]211[.]120[.]32 Ukraine 4854 件 Link
185[.]202[.]1[.]217 France 3692 件 Link
115[.]76[.]65[.]118 Vietnam 3247 件 Link
123[.]19[.]158[.]231 Vietnam 2946 件 Link
198[.]245[.]50[.]167 Canada 2686 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
185[.]128[.]41[.]50 Switzerland 225 件 Link
93[.]174[.]93[.]91 Netherlands 30 件 Link
129[.]150[.]94[.]63 United States 9 件 Link
132[.]145[.]101[.]248 Canada 9 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 7 件 Link
179[.]223[.]173[.]249 Brazil 6 件 Link
130[.]61[.]218[.]121 Germany 6 件 Link
183[.]136[.]225[.]45 China 4 件 Link
185[.]234[.]217[.]172 Poland 3 件 Link
80[.]82[.]78[.]104 Netherlands 2 件 Link
118[.]126[.]116[.]32 China 2 件 Link
76[.]174[.]86[.]219 United States 1 件 Link
202[.]72[.]240[.]12 Mongolia 1 件 Link
193[.]118[.]53[.]194 Germany 1 件 Link
190[.]94[.]136[.]219 Ecuador 1 件 Link
122[.]228[.]19[.]80 China 1 件 Link
94[.]140[.]114[.]17 Latvia 1 件 Link
186[.]224[.]171[.]66 Brazil 1 件 Link
93[.]126[.]91[.]71 Ukraine 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
185[.]128[.]41[.]50 Switzerland 225 件 Link
93[.]174[.]93[.]91 Netherlands 30 件 Link
129[.]150[.]94[.]63 United States 9 件 Link
132[.]145[.]101[.]248 Canada 9 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
5[.]101[.]0[.]209 Russia 7 件 Link
179[.]223[.]173[.]249 Brazil 6 件 Link
130[.]61[.]218[.]121 Germany 6 件 Link
183[.]136[.]225[.]45 China 4 件 Link
185[.]234[.]217[.]172 Poland 3 件 Link
80[.]82[.]78[.]104 Netherlands 2 件 Link
118[.]126[.]116[.]32 China 2 件 Link
76[.]174[.]86[.]219 United States 1 件 Link
202[.]72[.]240[.]12 Mongolia 1 件 Link
193[.]118[.]53[.]194 Germany 1 件 Link
190[.]94[.]136[.]219 Ecuador 1 件 Link
122[.]228[.]19[.]80 China 1 件 Link
94[.]140[.]114[.]17 Latvia 1 件 Link
186[.]224[.]171[.]66 Brazil 1 件 Link
93[.]126[.]91[.]71 Ukraine 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/\cgi-bin/get_status[.]cgi Apexis IP CAM - -
/\cgi-bin/login[.]cgi Crestron AirMedia AM-100 CVE-2016-5639 -
/home[.]asp ASP file - -
/vpn/index[.]html - - -
/jsproxy MikroTik RouterOS - -
/tmpfs/auto[.]jpg IP camera - -
/_cluster/health Elasticsearch - -
/_stats Elasticsearch - -

02 WOWHoneypot

URI Path Target CVE Memo
/home[.]asp ASP file - -
/vpn/index[.]html - - -
/ipc$ - - -
/setup[.]php - - -

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
/home[.]asp ASP file - -
/vpn/index[.]html - - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 396980 件
/ - - 346 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 43 件
/ws/v1/cluster/apps/new-application Apache Hadoop - 30 件
login[.]cgi D-Link Router - 30 件
sip:nm Session Initiation Protocol - 22 件
/nice - - 19 件
/MyAdmin/scripts/setup[.]php Administrator - 13 件
/version - - 11 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 10 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 9 件
/api api - 7 件
/server-info Apache - 5 件
/admin/assets/js/views/login[.]js FreePBX - 5 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 5 件
/cgi CGI - 5 件
/jmx JMX - 4 件
SERVER - - 3 件
/shell MVPower DVR - 3 件
/cgi-bin/luci CGI - 3 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539 3 件
/\cgi-bin/get_status[.]cgi New - 3 件
/\cgi-bin/login[.]cgi New - 3 件
hxxp://112[.]124[.]42[.]80:63435/ Unauthorized relay - 2 件
/login Login Page - 2 件
/_ping Unknown - 2 件
/home[.]asp New - 2 件
/login[.]cgi D-Link Router - 2 件
/vpn/index[.]html New - 2 件
/remote/login VPN Login - 2 件
/index[.]asp index - 2 件
/htmlV/welcomeMain[.]htm Verizon Modem Router - 2 件
/manager/html Apache Tomcat Manager - 2 件
/setup/eureka_info Google Home Hub - 2 件
hxxp://123[.]125[.]114[.]144/ Unauthorized relay - 1 件
/status - 2020/2/15 1 件
hxxp://aandetransportandrecovery[.]co[.]
uk/
Unauthorized relay - 1 件
/ipp CUPS CVE-2015-1158 1 件
/info - - 1 件
rtsp:// Real Time Streaming Protocol - 1 件
/jsproxy New - 1 件
hxxp://chekfast[.]zennolab[.]com/proxy[.
]php
Unauthorized relay - 1 件
/v1[.]40/containers/json Docker Engine API - 1 件
/admin-scripts[.]asp Administrator - 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
/tmpfs/auto[.]jpg New - 1 件
/_cat/indices Elasticsearch - 1 件
/_cluster/health New - 1 件
/_stats New - 1 件
hxxp://example[.]com/ Unauthorized relay - 1 件
/solr/ Apache Solr - 1 件
/tmUnblock[.]cgi Linksys E-series - 1 件
/_search Elasticsearch - 1 件
rtsp://160[.]16[.]145[.]183:554 Real Time Streaming Protocol - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/manager/html Apache Tomcat Manager - 225 件
/ - - 35 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 7 件
/index[.]asp index - 5 件
/htmlV/welcomeMain[.]htm Verizon Modem Router - 5 件
/cgi-bin/luci CGI - 4 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 4 件
/remote/login VPN Login - 4 件
/index[.]php - - 3 件
/MyAdmin/scripts/setup[.]php Administrator - 2 件
/PHPMYADMIN/scripts/setup[.]php phpMyAdmin - 2 件
/db/scripts/setup[.]php Database - 2 件
/dbadmin/scripts/setup[.]php Administrator - 2 件
/myadmin/scripts/setup[.]php Administrator - 2 件
/mysql/scripts/setup[.]php MySQL - 2 件
/mysqladmin/scripts/setup[.]php MySQL - 2 件
/vendor/phpunit/phpunit/src/Util/PHP/eva
l-stdin[.]php
PHPUnit CVE-2017-9841 2 件
/home[.]asp New - 2 件
/login[.]cgi D-Link Router - 2 件
/vpn/index[.]html New - 2 件
/ipc$ New - 1 件
/solr/ Apache Solr - 1 件
/solr/admin/info/system Apache Solr - 1 件
/api/jsonws/invoke api - 1 件
/pHpMyAdMiN/scripts/setup[.]php phpMyAdmin - 1 件
/phpMyAdmin/scripts/setup[.]php phpMyAdmin - 1 件
/phpadmin/scripts/setup[.]php Administrator - 1 件
/phpmyadmin/scripts/setup[.]php phpMyAdmin - 1 件
/sqladm/scripts/setup[.]php SQL - 1 件
/sqladmin/scripts/setup[.]php SQLAdmin - 1 件
/phpmyadmin/scripts/db___[.]init[.]php phpMyAdmin - 1 件
/phpMyAdmin/scripts/db___[.]init[.]php phpMyAdmin - 1 件
/database/scripts/setup[.]php Database - 1 件
/my/scripts/setup[.]php PHPMyAdmin - 1 件
/phpAdmin/scripts/setup[.]php Administrator - 1 件
/phpmyadmin1/scripts/setup[.]php phpMyAdmin - 1 件
/phpmyadmin2/scripts/setup[.]php phpMyAdmin - 1 件
/pma/scripts/setup[.]php phpMyAdmin - 1 件
/scripts/setup[.]php PHPMyAdmin - 1 件
/setup[.]php New - 1 件
//wp-content/plugins/apikey/apikey[.]php Wordpress - 1 件
/portal/redlion Unknown - 1 件
/boaform/admin/formPing Administrator - 1 件
/shell MVPower DVR - 1 件
/phpmyadmin/index[.]php - - 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/ - - 8 件
/admin/assets/js/views/login[.]js FreePBX - 7 件
/cgi-bin/luci CGI - 4 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 4 件
/remote/login VPN Login - 4 件
/index[.]asp index - 4 件
/htmlV/welcomeMain[.]htm Verizon Modem Router - 4 件
/api/v1/pods api - 1 件
/solr/ Apache Solr - 1 件
/home[.]asp New - 1 件
/login[.]cgi D-Link Router - 1 件
/vpn/index[.]html New - 1 件
/owa/auth/logon[.]aspx Microsoft Exchange Server CVE-2018-16793 1 件

Malware

  1. Honeytrap
Malware Count
No Malware 397576 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 12 件
hxxp://51[.]255[.]170[.]237/pandora[.]mips 8 件
hxxp://176[.]123[.]3[.]96/arm7 2 件
hxxp://192[.]3[.]45[.]185/arm7 2 件
hxxp://5[.]206[.]227[.]18/curl 1 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh 1 件
hxxp://185[.]172[.]110[.]224/ab/arm7 1 件
hxxp://178[.]32[.]148[.]5/arm7 1 件
hxxp://45[.]95[.]169[.]232/bins/mpsl 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
3389 191[.]253[.]39[.]7 Brazil 298 件 Link
3389 95[.]47[.]248[.]84 Ukraine 80 件 Link
3389 117[.]4[.]115[.]55 Vietnam 73 件 Link
3389 64[.]225[.]43[.]67 United States 21 件 Link
3389 5[.]83[.]160[.]250 Germany 19 件 Link
28216 185[.]202[.]1[.]189 France 8 件 Link
28093 185[.]202[.]1[.]189 France 8 件 Link
29189 185[.]202[.]1[.]189 France 8 件 Link
28653 185[.]202[.]1[.]189 France 8 件 Link
29127 185[.]202[.]1[.]189 France 8 件 Link
28907 185[.]202[.]1[.]189 France 8 件 Link
28606 185[.]202[.]1[.]189 France 8 件 Link
27853 185[.]202[.]1[.]189 France 8 件 Link
29369 185[.]202[.]1[.]189 France 8 件 Link
29407 185[.]202[.]1[.]189 France 8 件 Link
28857 185[.]202[.]1[.]189 France 8 件 Link
28581 185[.]202[.]1[.]189 France 8 件 Link
28294 185[.]202[.]1[.]189 France 8 件 Link
28835 185[.]202[.]1[.]189 France 8 件 Link
29171 185[.]202[.]1[.]189 France 8 件 Link

Port

Port Count
3389 564 件
3391 19 件
3390 16 件
3385 16 件
3392 15 件
18148 14 件
23037 14 件
17166 14 件
23590 14 件
18027 14 件
18243 14 件
18805 14 件
28658 14 件
23382 14 件
23531 13 件
24767 13 件
17529 13 件
23461 13 件
19826 13 件
23870 13 件

IP

IP Country Count AbuseIPDB
45[.]141[.]87[.]27 Russia 29414 件 Link
185[.]202[.]1[.]19 France 12772 件 Link
185[.]202[.]1[.]189 France 11654 件 Link
185[.]202[.]1[.]217 France 3692 件 Link
185[.]158[.]113[.]43 Russia 1867 件 Link
185[.]202[.]2[.]120 France 1017 件 Link
185[.]202[.]1[.]10 France 683 件 Link
191[.]253[.]39[.]7 Brazil 298 件 Link
95[.]47[.]248[.]84 Ukraine 80 件 Link
117[.]4[.]115[.]55 Vietnam 73 件 Link
185[.]202[.]2[.]149 France 71 件 Link
185[.]153[.]196[.]99 Russia 66 件 Link
185[.]202[.]0[.]27 United Kingdom 51 件 Link
185[.]202[.]1[.]249 France 46 件 Link
185[.]202[.]0[.]25 United Kingdom 36 件 Link
185[.]202[.]1[.]85 France 32 件 Link
185[.]153[.]199[.]12 Russia 27 件 Link
195[.]54[.]160[.]77 Russia 26 件 Link
64[.]225[.]43[.]67 United States 21 件 Link
5[.]83[.]160[.]250 Germany 19 件 Link

Port 1433

IP Country Count AbuseIPDB
116[.]236[.]116[.]52 China 63009 件 Link
182[.]71[.]11[.]173 India 48434 件 Link
27[.]123[.]0[.]118 Indonesia 46904 件 Link
211[.]233[.]86[.]9 South Korea 42453 件 Link
116[.]22[.]196[.]179 China 24705 件 Link
83[.]209[.]70[.]50 Sweden 16497 件 Link
104[.]222[.]32[.]232 United States 15055 件 Link
1[.]168[.]12[.]85 Taiwan 13478 件 Link
113[.]165[.]233[.]194 Vietnam 11145 件 Link
27[.]255[.]58[.]30 Pakistan 7559 件 Link
118[.]172[.]54[.]237 Thailand 6012 件 Link
1[.]22[.]43[.]99 India 4978 件 Link
91[.]211[.]120[.]32 Ukraine 4854 件 Link
115[.]76[.]65[.]118 Vietnam 3247 件 Link
123[.]19[.]158[.]231 Vietnam 2946 件 Link
208[.]94[.]176[.]181 Saint Lucia 2534 件 Link
182[.]52[.]66[.]143 Thailand 1778 件 Link
91[.]78[.]108[.]105 Russia 1647 件 Link
85[.]111[.]0[.]137 Turkey 1543 件 Link
46[.]20[.]196[.]96 Tajikistan 1418 件 Link