【ハニーポット簡易分析】Honeypot簡易分析(2020/4/28)
マルウェア欄の内容を少しアップデートしてみました。 IoT系を狙ったものは相変わらず多いですが、Redisの狙ったマルウェアダウンロードもは増加していました。
Port(TOP20)
- Honeytrap
Port | Service | Count |
---|---|---|
1433 | Microsoft-SQL-Server | 81291 件 |
22 | The Secure Shell (SSH) Protocol | 4215 件 |
445 | Microsoft-DS | 1749 件 |
3389 | MS WBT Server | 149 件 |
2404 | IEC 60870-5-104 process control over IP | 96 件 |
1030 | Unknown | 80 件 |
7657 | Unknown | 78 件 |
139 | NETBIOS Session Service | 73 件 |
110 | Post Office Protocol - Version 3 | 66 件 |
5007 | wsm server ssl | 57 件 |
81 | Unknown | 56 件 |
8080 | HTTP Alternate (see port 80) | 54 件 |
9527 | Unknown | 49 件 |
631 | IPP (Internet Printing Protocol)Internet Printing Protocol over HTTPS | 44 件 |
52869 | Realtek SDK miniigd SOAP Service | 43 件 |
8088 | Radan HTTP | 43 件 |
18245 | Unknown | 42 件 |
2087 | ELI - Event Logging Integration | 40 件 |
5901 | Unknown | 40 件 |
3780 | Nuzzler Network Protocol | 40 件 |
IP(TOP20)
01 Honeytrap
IP | Country | Count | AbuseIPDB |
---|---|---|---|
45[.]239[.]183[.]129 | Brazil | 37943 件 | Link |
222[.]90[.]212[.]62 | China | 24539 件 | Link |
185[.]202[.]1[.]19 | France | 10789 件 | Link |
125[.]161[.]80[.]47 | Indonesia | 4642 件 | Link |
58[.]56[.]40[.]222 | China | 3096 件 | Link |
119[.]52[.]233[.]227 | China | 3090 件 | Link |
220[.]179[.]82[.]19 | China | 3085 件 | Link |
183[.]151[.]77[.]61 | China | 3077 件 | Link |
198[.]245[.]50[.]167 | Canada | 2355 件 | Link |
185[.]158[.]113[.]43 | Russia | 2170 件 | Link |
31[.]206[.]1[.]5 | Turkey | 1161 件 | Link |
185[.]202[.]2[.]120 | France | 985 件 | Link |
185[.]202[.]1[.]85 | France | 907 件 | Link |
218[.]92[.]0[.]208 | China | 875 件 | Link |
49[.]88[.]112[.]70 | China | 462 件 | Link |
222[.]174[.]23[.]10 | China | 176 件 | Link |
185[.]202[.]2[.]197 | France | 130 件 | Link |
185[.]153[.]198[.]243 | Russia | 118 件 | Link |
198[.]108[.]67[.]48 | United States | 105 件 | Link |
123[.]130[.]124[.]77 | China | 102 件 | Link |
02 WOWHoneypot
IP | Country | Count | AbuseIPDB |
---|---|---|---|
202[.]53[.]8[.]129 | India | 9 件 | Link |
181[.]65[.]158[.]26 | Peru | 9 件 | Link |
77[.]247[.]108[.]119 | Estonia | 7 件 | Link |
84[.]52[.]97[.]249 | Russia | 5 件 | Link |
195[.]176[.]3[.]23 | Switzerland | 4 件 | Link |
159[.]192[.]213[.]238 | Thailand | 2 件 | Link |
192[.]241[.]199[.]246 | United States | 1 件 | Link |
209[.]141[.]41[.]128 | United States | 1 件 | Link |
143[.]255[.]198[.]242 | Brazil | 1 件 | Link |
165[.]22[.]67[.]56 | Germany | 1 件 | Link |
68[.]183[.]181[.]44 | Singapore | 1 件 | Link |
185[.]232[.]65[.]211 | Romania | 1 件 | Link |
162[.]243[.]129[.]67 | United States | 1 件 | Link |
107[.]6[.]150[.]242 | Netherlands | 1 件 | Link |
115[.]163[.]75[.]164 | Japan | 1 件 | Link |
60[.]191[.]52[.]254 | China | 1 件 | Link |
185[.]188[.]239[.]23 | Slovakia | 1 件 | Link |
2[.]187[.]89[.]5 | Iran | 1 件 | Link |
176[.]216[.]226[.]149 | Turkey | 1 件 | Link |
185[.]173[.]35[.]21 | Germany | 1 件 | Link |
03 WOWHoneypot(SSL)
IP | Country | Count | AbuseIPDB |
---|---|---|---|
202[.]53[.]8[.]129 | India | 9 件 | Link |
181[.]65[.]158[.]26 | Peru | 9 件 | Link |
77[.]247[.]108[.]119 | Estonia | 7 件 | Link |
84[.]52[.]97[.]249 | Russia | 5 件 | Link |
195[.]176[.]3[.]23 | Switzerland | 4 件 | Link |
159[.]192[.]213[.]238 | Thailand | 2 件 | Link |
192[.]241[.]199[.]246 | United States | 1 件 | Link |
209[.]141[.]41[.]128 | United States | 1 件 | Link |
143[.]255[.]198[.]242 | Brazil | 1 件 | Link |
165[.]22[.]67[.]56 | Germany | 1 件 | Link |
68[.]183[.]181[.]44 | Singapore | 1 件 | Link |
185[.]232[.]65[.]211 | Romania | 1 件 | Link |
162[.]243[.]129[.]67 | United States | 1 件 | Link |
107[.]6[.]150[.]242 | Netherlands | 1 件 | Link |
115[.]163[.]75[.]164 | Japan | 1 件 | Link |
60[.]191[.]52[.]254 | China | 1 件 | Link |
185[.]188[.]239[.]23 | Slovakia | 1 件 | Link |
2[.]187[.]89[.]5 | Iran | 1 件 | Link |
176[.]216[.]226[.]149 | Turkey | 1 件 | Link |
185[.]173[.]35[.]21 | Germany | 1 件 | Link |
URI Path
NEW URI Path
01 Honeytrap
URI Path | Target | CVE | Memo |
---|---|---|---|
- | - | - | - |
02 WOWHoneypot
URI Path | Target | CVE | Memo |
---|---|---|---|
/news[.]php | - | - | - |
/axis2/services/Cat/exec | Apache Axis2 | - | - |
03 WOWHoneypot(SSL)
URI Path | Target | CVE | Memo |
---|---|---|---|
- | - | - | - |
URI Path
01 Honeytrap
URI Path | Target | CVE | Count |
---|---|---|---|
No uri path | - | - | 104517 件 |
/ | - | - | 324 件 |
/picsdesc[.]xml | Realtek SDK | CVE-2014-8361 | 43 件 |
/ws/v1/cluster/apps/new-application | Apache Hadoop | - | 36 件 |
login[.]cgi | D-Link Router | - | 36 件 |
/ctrlt/DeviceUpgrade_1 | Huawei Home Device | - | 19 件 |
sip:nm | Session Initiation Protocol | - | 12 件 |
/nice | - | - | 11 件 |
/robots[.]txt | robots.txt | - | 9 件 |
/cgi | CGI | - | 6 件 |
/version | - | - | 6 件 |
/live/CPEManager/AXCampaignManager/delet e_cpes_by_ids |
Zyxel CNM SecuManager | - | 5 件 |
/manager/html | Apache Tomcat Manager | - | 5 件 |
/jmx | JMX | - | 4 件 |
hxxp://clientapi[.]ipip[.]net/echo[.]php | Unauthorized relay | - | 4 件 |
/hazelcast/rest/cluster | Open-Xchange AppSuite | CVE-2013-5936 | 3 件 |
/home[.]asp | ASP file | - | 3 件 |
/login[.]cgi | D-Link Router | - | 3 件 |
/vpn/index[.]html | - | - | 3 件 |
/cgi-bin/luci | CGI | - | 3 件 |
/dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 3 件 |
/remote/login | VPN Login | - | 3 件 |
/favicon[.]ico | favicon | - | 3 件 |
/cgi-bin/webctrl[.]cgi | CGI | - | 2 件 |
hxxp://123[.]125[.]114[.]144/ | Unauthorized relay | - | 2 件 |
/server-info | Apache | - | 2 件 |
/index[.]asp | index | - | 2 件 |
/htmlV/welcomeMain[.]htm | Verizon Modem Router | - | 2 件 |
hxxp://aandetransportandrecovery[.]co[.] uk/ |
Unauthorized relay | - | 2 件 |
/setup/eureka_info | Google Home Hub | - | 2 件 |
/service/extdirect | Sonatype Nexus Repository Manager | CVE-2019-7238 | 1 件 |
/jars | Unknown | - | 1 件 |
/stats | - | - | 1 件 |
/db/manage/ | Database | - | 1 件 |
/manager/text/list | Apache Tomcat Manager | - | 1 件 |
/api/jsonws/invoke | api | - | 1 件 |
hxxp://azenv[.]net/ | Unauthorized relay | - | 1 件 |
/install[.]php | php | - | 1 件 |
/_search | Elasticsearch | - | 1 件 |
rtsp://160[.]16[.]145[.]183:10554/ | Real Time Streaming Protocol | - | 1 件 |
/hudson | Unknown | - | 1 件 |
/api | api | - | 1 件 |
SERVER | - | - | 1 件 |
/master-status | Unknown | - | 1 件 |
/setup[.]cgi | DGN1000 Netgear Router | - | 1 件 |
/info | - | - | 1 件 |
hxxp://example[.]com/ | Unauthorized relay | - | 1 件 |
hxxp://chekfast[.]zennolab[.]com/proxy[. ]php |
Unauthorized relay | - | 1 件 |
02 WOWHoneypot
URI Path | Target | CVE | Count |
---|---|---|---|
/ | - | - | 43 件 |
/admin/assets/js/views/login[.]js | FreePBX | - | 7 件 |
/cgi-bin/mainfunction[.]cgi | DrayTek | CVE-2020-8515 | 3 件 |
/home[.]asp | ASP file | - | 2 件 |
/login[.]cgi | D-Link Router | - | 2 件 |
/vpn/index[.]html | - | - | 2 件 |
/cgi-bin/luci | CGI | - | 2 件 |
/dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 2 件 |
/remote/login | VPN Login | - | 2 件 |
/index[.]asp | index | - | 2 件 |
/htmlV/welcomeMain[.]htm | Verizon Modem Router | - | 2 件 |
/favicon[.]ico | favicon | - | 2 件 |
/news[.]php | New | - | 2 件 |
/portal/redlion | Unknown | - | 1 件 |
/axis2/services/Cat/exec | New | - | 1 件 |
/manager/html | Apache Tomcat Manager | - | 1 件 |
hxxp://112[.]124[.]42[.]80:63435/ | Unauthorized relay | - | 1 件 |
/hudson | Unknown | - | 1 件 |
hxxp://5[.]188[.]210[.]101/echo[.]php | Unauthorized relay | - | 1 件 |
03 WOWHoneypot(SSL)
URI Path | Target | CVE | Count |
---|---|---|---|
/ | - | - | 11 件 |
/admin/assets/js/views/login[.]js | FreePBX | - | 7 件 |
/home[.]asp | ASP file | - | 2 件 |
/login[.]cgi | D-Link Router | - | 2 件 |
/vpn/index[.]html | - | - | 2 件 |
/cgi-bin/luci | CGI | - | 2 件 |
/dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 2 件 |
/remote/login | VPN Login | - | 2 件 |
/index[.]asp | index | - | 2 件 |
/htmlV/welcomeMain[.]htm | Verizon Modem Router | - | 2 件 |
/vendor/phpunit/phpunit/src/Util/PHP/eva l-stdin[.]php |
PHPUnit | CVE-2017-9841 | 2 件 |
/data[.]php | - | - | 1 件 |
/owa/auth/logon[.]aspx | Microsoft Exchange Server | CVE-2018-16793 | 1 件 |
/index[.]php | - | - | 1 件 |
/api/jsonws/invoke | api | - | 1 件 |
/favicon[.]ico | favicon | - | 1 件 |
Malware
- Honeytrap
Malware | Localport | RemoteIP | URI Path | Count |
---|---|---|---|---|
hxxp://51[.]178[.]81[.]75/pandora[.]mips | 52869 | 142[.]44[.]211[.]179 | /picsdesc[.]xml | 8 件 |
hxxp://45[.]95[.]168[.]127/bins/911[.]mips | 52869 | 107[.]175[.]189[.]180 | /picsdesc[.]xml | 2 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6378 | 124[.]235[.]118[.]14 | No uri path | 2 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6379 | 124[.]235[.]118[.]14 | No uri path | 2 件 |
hxxp://178[.]33[.]64[.]107/arm7 | 8089 | 12[.]118[.]196[.]134 | /cgi | 1 件 |
hxxp://178[.]33[.]64[.]107/arm7 | 9673 | 187[.]190[.]221[.]119 | /live/CPEManager/AXCampaignManager/delete_cpes_by_ids | 1 件 |
hxxp://192[.]3[.]45[.]185/arm7 | 8089 | 121[.]32[.]151[.]178 | /cgi | 1 件 |
hxxp://176[.]123[.]3[.]96/arm7 | 8089 | 104[.]220[.]194[.]92 | /cgi | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6379 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6378 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6380 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
hxxp://178[.]33[.]64[.]107/arm7 | 9673 | 184[.]82[.]152[.]213 | /live/CPEManager/AXCampaignManager/delete_cpes_by_ids | 1 件 |
hxxp://212[.]114[.]52[.]128/arm7 | 9673 | 77[.]242[.]22[.]60 | /live/CPEManager/AXCampaignManager/delete_cpes_by_ids | 1 件 |
hxxp://212[.]114[.]52[.]128/arm7 | 9673 | 181[.]57[.]186[.]230 | /live/CPEManager/AXCampaignManager/delete_cpes_by_ids | 1 件 |
hxxp://178[.]33[.]64[.]107/arm7 | 8089 | 96[.]86[.]248[.]165 | /cgi | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6381 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6379 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6380 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
hxxp://45[.]95[.]168[.]254:1691/c | 5555 | 45[.]95[.]168[.]254 | No uri path | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6378 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6381 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
hxxp://178[.]33[.]64[.]107/arm7 | 8089 | 99[.]230[.]166[.]85 | /cgi | 1 件 |
hxxp://176[.]123[.]3[.]96/arm7 | 8089 | 24[.]85[.]221[.]115 | /cgi | 1 件 |
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]m | 8080 | 91[.]234[.]62[.]21 | /setup[.]cgi | 1 件 |
hxxp://178[.]33[.]64[.]107/arm7 | 9673 | 74[.]102[.]39[.]43 | /live/CPEManager/AXCampaignManager/delete_cpes_by_ids | 1 件 |
hxxp://185[.]172[.]110[.]224/wget | 5555 | 80[.]82[.]78[.]104 | No uri path | 1 件 |
RDP
Port/IP
Port | IP | Country | Count | AbuseIPDB |
---|---|---|---|---|
3389 | 95[.]47[.]248[.]84 | Ukraine | 78 件 | Link |
110 | 185[.]202[.]2[.]197 | France | 65 件 | Link |
139 | 185[.]202[.]2[.]197 | France | 65 件 | Link |
3389 | 212[.]32[.]230[.]44 | Netherlands | 8 件 | Link |
3389 | 222[.]174[.]105[.]82 | China | 6 件 | Link |
17887 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
19299 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
17700 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
18292 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
18544 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
19918 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
18306 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
16794 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
18531 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
25175 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
3389 | 193[.]169[.]252[.]136 | Poland | 4 件 | Link |
23932 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
24637 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
24698 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
24171 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
Port
Port | Count |
---|---|
3389 | 139 件 |
110 | 66 件 |
139 | 65 件 |
3390 | 15 件 |
3388 | 14 件 |
3391 | 12 件 |
3395 | 8 件 |
33389 | 7 件 |
3392 | 7 件 |
19999 | 6 件 |
3393 | 6 件 |
25353 | 6 件 |
18566 | 6 件 |
17330 | 6 件 |
3387 | 5 件 |
3380 | 5 件 |
17093 | 5 件 |
19101 | 5 件 |
24008 | 5 件 |
18171 | 5 件 |
IP
IP | Country | Count | AbuseIPDB |
---|---|---|---|
185[.]202[.]1[.]19 | France | 10789 件 | Link |
185[.]158[.]113[.]43 | Russia | 2170 件 | Link |
185[.]202[.]2[.]120 | France | 985 件 | Link |
185[.]202[.]1[.]85 | France | 907 件 | Link |
185[.]202[.]2[.]197 | France | 130 件 | Link |
185[.]153[.]198[.]243 | Russia | 118 件 | Link |
185[.]153[.]199[.]87 | Russia | 91 件 | Link |
92[.]63[.]194[.]241 | Russia | 90 件 | Link |
185[.]153[.]196[.]239 | Russia | 88 件 | Link |
185[.]153[.]199[.]81 | Russia | 84 件 | Link |
95[.]47[.]248[.]84 | Ukraine | 78 件 | Link |
92[.]63[.]194[.]21 | Russia | 77 件 | Link |
5[.]101[.]64[.]77 | Russia | 76 件 | Link |
185[.]202[.]2[.]149 | France | 51 件 | Link |
185[.]153[.]199[.]12 | Russia | 51 件 | Link |
195[.]54[.]167[.]225 | Russia | 32 件 | Link |
185[.]153[.]196[.]99 | Russia | 25 件 | Link |
185[.]202[.]2[.]9 | France | 22 件 | Link |
87[.]251[.]75[.]254 | Russia | 20 件 | Link |
185[.]202[.]0[.]27 | United Kingdom | 15 件 | Link |
Port 1433
IP | Country | Count | AbuseIPDB |
---|---|---|---|
45[.]239[.]183[.]129 | Brazil | 37943 件 | Link |
222[.]90[.]212[.]62 | China | 24539 件 | Link |
125[.]161[.]80[.]47 | Indonesia | 4642 件 | Link |
58[.]56[.]40[.]222 | China | 3096 件 | Link |
119[.]52[.]233[.]227 | China | 3090 件 | Link |
220[.]179[.]82[.]19 | China | 3085 件 | Link |
183[.]151[.]77[.]61 | China | 3077 件 | Link |
31[.]206[.]1[.]5 | Turkey | 1161 件 | Link |
222[.]174[.]23[.]10 | China | 175 件 | Link |
123[.]130[.]124[.]77 | China | 102 件 | Link |
103[.]193[.]149[.]4 | China | 94 件 | Link |
61[.]178[.]152[.]19 | China | 88 件 | Link |
58[.]249[.]54[.]170 | China | 86 件 | Link |
121[.]31[.]15[.]22 | China | 33 件 | Link |
85[.]95[.]191[.]36 | Russia | 12 件 | Link |
194[.]28[.]65[.]137 | Ukraine | 12 件 | Link |
27[.]155[.]87[.]173 | China | 3 件 | Link |
41[.]189[.]166[.]19 | Ghana | 2 件 | Link |
45[.]239[.]100[.]41 | Brazil | 2 件 | Link |
180[.]242[.]97[.]97 | Indonesia | 2 件 | Link |