マルウェア欄の内容を少しアップデートしてみました。 IoT系を狙ったものは相変わらず多いですが、Redisの狙ったマルウェアダウンロードもは増加していました。

Port(TOP20)

Honeytrap

Port	Service	Count
1433	Microsoft-SQL-Server	81291 件
22	The Secure Shell (SSH) Protocol	4215 件
445	Microsoft-DS	1749 件
3389	MS WBT Server	149 件
2404	IEC 60870-5-104 process control over IP	96 件
1030	Unknown	80 件
7657	Unknown	78 件
139	NETBIOS Session Service	73 件
110	Post Office Protocol - Version 3	66 件
5007	wsm server ssl	57 件
81	Unknown	56 件
8080	HTTP Alternate (see port 80)	54 件
9527	Unknown	49 件
631	IPP (Internet Printing Protocol)Internet Printing Protocol over HTTPS	44 件
52869	Realtek SDK miniigd SOAP Service	43 件
8088	Radan HTTP	43 件
18245	Unknown	42 件
2087	ELI - Event Logging Integration	40 件
5901	Unknown	40 件
3780	Nuzzler Network Protocol	40 件

IP(TOP20)

01 Honeytrap

IP	Country	Count	AbuseIPDB
45[.]239[.]183[.]129	Brazil	37943 件	Link
222[.]90[.]212[.]62	China	24539 件	Link
185[.]202[.]1[.]19	France	10789 件	Link
125[.]161[.]80[.]47	Indonesia	4642 件	Link
58[.]56[.]40[.]222	China	3096 件	Link
119[.]52[.]233[.]227	China	3090 件	Link
220[.]179[.]82[.]19	China	3085 件	Link
183[.]151[.]77[.]61	China	3077 件	Link
198[.]245[.]50[.]167	Canada	2355 件	Link
185[.]158[.]113[.]43	Russia	2170 件	Link
31[.]206[.]1[.]5	Turkey	1161 件	Link
185[.]202[.]2[.]120	France	985 件	Link
185[.]202[.]1[.]85	France	907 件	Link
218[.]92[.]0[.]208	China	875 件	Link
49[.]88[.]112[.]70	China	462 件	Link
222[.]174[.]23[.]10	China	176 件	Link
185[.]202[.]2[.]197	France	130 件	Link
185[.]153[.]198[.]243	Russia	118 件	Link
198[.]108[.]67[.]48	United States	105 件	Link
123[.]130[.]124[.]77	China	102 件	Link

02 WOWHoneypot

IP	Country	Count	AbuseIPDB
202[.]53[.]8[.]129	India	9 件	Link
181[.]65[.]158[.]26	Peru	9 件	Link
77[.]247[.]108[.]119	Estonia	7 件	Link
84[.]52[.]97[.]249	Russia	5 件	Link
195[.]176[.]3[.]23	Switzerland	4 件	Link
159[.]192[.]213[.]238	Thailand	2 件	Link
192[.]241[.]199[.]246	United States	1 件	Link
209[.]141[.]41[.]128	United States	1 件	Link
143[.]255[.]198[.]242	Brazil	1 件	Link
165[.]22[.]67[.]56	Germany	1 件	Link
68[.]183[.]181[.]44	Singapore	1 件	Link
185[.]232[.]65[.]211	Romania	1 件	Link
162[.]243[.]129[.]67	United States	1 件	Link
107[.]6[.]150[.]242	Netherlands	1 件	Link
115[.]163[.]75[.]164	Japan	1 件	Link
60[.]191[.]52[.]254	China	1 件	Link
185[.]188[.]239[.]23	Slovakia	1 件	Link
2[.]187[.]89[.]5	Iran	1 件	Link
176[.]216[.]226[.]149	Turkey	1 件	Link
185[.]173[.]35[.]21	Germany	1 件	Link

03 WOWHoneypot(SSL)

IP	Country	Count	AbuseIPDB
202[.]53[.]8[.]129	India	9 件	Link
181[.]65[.]158[.]26	Peru	9 件	Link
77[.]247[.]108[.]119	Estonia	7 件	Link
84[.]52[.]97[.]249	Russia	5 件	Link
195[.]176[.]3[.]23	Switzerland	4 件	Link
159[.]192[.]213[.]238	Thailand	2 件	Link
192[.]241[.]199[.]246	United States	1 件	Link
209[.]141[.]41[.]128	United States	1 件	Link
143[.]255[.]198[.]242	Brazil	1 件	Link
165[.]22[.]67[.]56	Germany	1 件	Link
68[.]183[.]181[.]44	Singapore	1 件	Link
185[.]232[.]65[.]211	Romania	1 件	Link
162[.]243[.]129[.]67	United States	1 件	Link
107[.]6[.]150[.]242	Netherlands	1 件	Link
115[.]163[.]75[.]164	Japan	1 件	Link
60[.]191[.]52[.]254	China	1 件	Link
185[.]188[.]239[.]23	Slovakia	1 件	Link
2[.]187[.]89[.]5	Iran	1 件	Link
176[.]216[.]226[.]149	Turkey	1 件	Link
185[.]173[.]35[.]21	Germany	1 件	Link

URI Path

NEW URI Path

01 Honeytrap

URI Path	Target	CVE	Memo
-	-	-	-

02 WOWHoneypot

URI Path	Target	CVE	Memo
/news[.]php	-	-	-
/axis2/services/Cat/exec	Apache Axis2	-	-

03 WOWHoneypot(SSL)

URI Path	Target	CVE	Memo
-	-	-	-

URI Path

01 Honeytrap

URI Path	Target	CVE	Count
No uri path	-	-	104517 件
/	-	-	324 件
/picsdesc[.]xml	Realtek SDK	CVE-2014-8361	43 件
/ws/v1/cluster/apps/new-application	Apache Hadoop	-	36 件
login[.]cgi	D-Link Router	-	36 件
/ctrlt/DeviceUpgrade_1	Huawei Home Device	-	19 件
sip:nm	Session Initiation Protocol	-	12 件
/nice	-	-	11 件
/robots[.]txt	robots.txt	-	9 件
/cgi	CGI	-	6 件
/version	-	-	6 件
/live/CPEManager/AXCampaignManager/delet e_cpes_by_ids	Zyxel CNM SecuManager	-	5 件
/manager/html	Apache Tomcat Manager	-	5 件
/jmx	JMX	-	4 件
hxxp://clientapi[.]ipip[.]net/echo[.]php	Unauthorized relay	-	4 件
/hazelcast/rest/cluster	Open-Xchange AppSuite	CVE-2013-5936	3 件
/home[.]asp	ASP file	-	3 件
/login[.]cgi	D-Link Router	-	3 件
/vpn/index[.]html	-	-	3 件
/cgi-bin/luci	CGI	-	3 件
/dana-na/auth/url_default/welcome[.]cgi	Pulse/Juniper Networks SA2000 SSL VPN	CVE-2019-11539/	3 件
/remote/login	VPN Login	-	3 件
/favicon[.]ico	favicon	-	3 件
/cgi-bin/webctrl[.]cgi	CGI	-	2 件
hxxp://123[.]125[.]114[.]144/	Unauthorized relay	-	2 件
/server-info	Apache	-	2 件
/index[.]asp	index	-	2 件
/htmlV/welcomeMain[.]htm	Verizon Modem Router	-	2 件
hxxp://aandetransportandrecovery[.]co[.] uk/	Unauthorized relay	-	2 件
/setup/eureka_info	Google Home Hub	-	2 件
/service/extdirect	Sonatype Nexus Repository Manager	CVE-2019-7238	1 件
/jars	Unknown	-	1 件
/stats	-	-	1 件
/db/manage/	Database	-	1 件
/manager/text/list	Apache Tomcat Manager	-	1 件
/api/jsonws/invoke	api	-	1 件
hxxp://azenv[.]net/	Unauthorized relay	-	1 件
/install[.]php	php	-	1 件
/_search	Elasticsearch	-	1 件
rtsp://160[.]16[.]145[.]183:10554/	Real Time Streaming Protocol	-	1 件
/hudson	Unknown	-	1 件
/api	api	-	1 件
SERVER	-	-	1 件
/master-status	Unknown	-	1 件
/setup[.]cgi	DGN1000 Netgear Router	-	1 件
/info	-	-	1 件
hxxp://example[.]com/	Unauthorized relay	-	1 件
hxxp://chekfast[.]zennolab[.]com/proxy[. ]php	Unauthorized relay	-	1 件

02 WOWHoneypot

URI Path	Target	CVE	Count
/	-	-	43 件
/admin/assets/js/views/login[.]js	FreePBX	-	7 件
/cgi-bin/mainfunction[.]cgi	DrayTek	CVE-2020-8515	3 件
/home[.]asp	ASP file	-	2 件
/login[.]cgi	D-Link Router	-	2 件
/vpn/index[.]html	-	-	2 件
/cgi-bin/luci	CGI	-	2 件
/dana-na/auth/url_default/welcome[.]cgi	Pulse/Juniper Networks SA2000 SSL VPN	CVE-2019-11539/	2 件
/remote/login	VPN Login	-	2 件
/index[.]asp	index	-	2 件
/htmlV/welcomeMain[.]htm	Verizon Modem Router	-	2 件
/favicon[.]ico	favicon	-	2 件
/news[.]php	New	-	2 件
/portal/redlion	Unknown	-	1 件
/axis2/services/Cat/exec	New	-	1 件
/manager/html	Apache Tomcat Manager	-	1 件
hxxp://112[.]124[.]42[.]80:63435/	Unauthorized relay	-	1 件
/hudson	Unknown	-	1 件
hxxp://5[.]188[.]210[.]101/echo[.]php	Unauthorized relay	-	1 件

03 WOWHoneypot(SSL)

URI Path	Target	CVE	Count
/	-	-	11 件
/admin/assets/js/views/login[.]js	FreePBX	-	7 件
/home[.]asp	ASP file	-	2 件
/login[.]cgi	D-Link Router	-	2 件
/vpn/index[.]html	-	-	2 件
/cgi-bin/luci	CGI	-	2 件
/dana-na/auth/url_default/welcome[.]cgi	Pulse/Juniper Networks SA2000 SSL VPN	CVE-2019-11539/	2 件
/remote/login	VPN Login	-	2 件
/index[.]asp	index	-	2 件
/htmlV/welcomeMain[.]htm	Verizon Modem Router	-	2 件
/vendor/phpunit/phpunit/src/Util/PHP/eva l-stdin[.]php	PHPUnit	CVE-2017-9841	2 件
/data[.]php	-	-	1 件
/owa/auth/logon[.]aspx	Microsoft Exchange Server	CVE-2018-16793	1 件
/index[.]php	-	-	1 件
/api/jsonws/invoke	api	-	1 件
/favicon[.]ico	favicon	-	1 件

Malware

Honeytrap

Malware	Localport	RemoteIP	URI Path	Count
hxxp://51[.]178[.]81[.]75/pandora[.]mips	52869	142[.]44[.]211[.]179	/picsdesc[.]xml	8 件
hxxp://45[.]95[.]168[.]127/bins/911[.]mips	52869	107[.]175[.]189[.]180	/picsdesc[.]xml	2 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	6378	124[.]235[.]118[.]14	No uri path	2 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	6379	124[.]235[.]118[.]14	No uri path	2 件
hxxp://178[.]33[.]64[.]107/arm7	8089	12[.]118[.]196[.]134	/cgi	1 件
hxxp://178[.]33[.]64[.]107/arm7	9673	187[.]190[.]221[.]119	/live/CPEManager/AXCampaignManager/delete_cpes_by_ids	1 件
hxxp://192[.]3[.]45[.]185/arm7	8089	121[.]32[.]151[.]178	/cgi	1 件
hxxp://176[.]123[.]3[.]96/arm7	8089	104[.]220[.]194[.]92	/cgi	1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	6379	112[.]90[.]197[.]66	No uri path	1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	6378	112[.]90[.]197[.]66	No uri path	1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	6380	112[.]90[.]197[.]66	No uri path	1 件
hxxp://178[.]33[.]64[.]107/arm7	9673	184[.]82[.]152[.]213	/live/CPEManager/AXCampaignManager/delete_cpes_by_ids	1 件
hxxp://212[.]114[.]52[.]128/arm7	9673	77[.]242[.]22[.]60	/live/CPEManager/AXCampaignManager/delete_cpes_by_ids	1 件
hxxp://212[.]114[.]52[.]128/arm7	9673	181[.]57[.]186[.]230	/live/CPEManager/AXCampaignManager/delete_cpes_by_ids	1 件
hxxp://178[.]33[.]64[.]107/arm7	8089	96[.]86[.]248[.]165	/cgi	1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	6381	112[.]90[.]197[.]66	No uri path	1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	6379	113[.]214[.]30[.]171	No uri path	1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	6380	113[.]214[.]30[.]171	No uri path	1 件
hxxp://45[.]95[.]168[.]254:1691/c	5555	45[.]95[.]168[.]254	No uri path	1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	6378	113[.]214[.]30[.]171	No uri path	1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh	6381	113[.]214[.]30[.]171	No uri path	1 件
hxxp://178[.]33[.]64[.]107/arm7	8089	99[.]230[.]166[.]85	/cgi	1 件
hxxp://176[.]123[.]3[.]96/arm7	8089	24[.]85[.]221[.]115	/cgi	1 件
hxxp://192[.]168[.]1[.]1:8088/Mozi[.]m	8080	91[.]234[.]62[.]21	/setup[.]cgi	1 件
hxxp://178[.]33[.]64[.]107/arm7	9673	74[.]102[.]39[.]43	/live/CPEManager/AXCampaignManager/delete_cpes_by_ids	1 件
hxxp://185[.]172[.]110[.]224/wget	5555	80[.]82[.]78[.]104	No uri path	1 件

RDP

Port/IP

Port	IP	Country	Count	AbuseIPDB
3389	95[.]47[.]248[.]84	Ukraine	78 件	Link
110	185[.]202[.]2[.]197	France	65 件	Link
139	185[.]202[.]2[.]197	France	65 件	Link
3389	212[.]32[.]230[.]44	Netherlands	8 件	Link
3389	222[.]174[.]105[.]82	China	6 件	Link
17887	185[.]202[.]1[.]19	France	4 件	Link
19299	185[.]202[.]1[.]19	France	4 件	Link
17700	185[.]202[.]1[.]19	France	4 件	Link
18292	185[.]202[.]1[.]19	France	4 件	Link
18544	185[.]202[.]1[.]19	France	4 件	Link
19918	185[.]202[.]1[.]19	France	4 件	Link
18306	185[.]202[.]1[.]19	France	4 件	Link
16794	185[.]202[.]1[.]19	France	4 件	Link
18531	185[.]202[.]1[.]19	France	4 件	Link
25175	185[.]202[.]1[.]19	France	4 件	Link
3389	193[.]169[.]252[.]136	Poland	4 件	Link
23932	185[.]202[.]1[.]19	France	4 件	Link
24637	185[.]202[.]1[.]19	France	4 件	Link
24698	185[.]202[.]1[.]19	France	4 件	Link
24171	185[.]202[.]1[.]19	France	4 件	Link

Port

Port	Count
3389	139 件
110	66 件
139	65 件
3390	15 件
3388	14 件
3391	12 件
3395	8 件
33389	7 件
3392	7 件
19999	6 件
3393	6 件
25353	6 件
18566	6 件
17330	6 件
3387	5 件
3380	5 件
17093	5 件
19101	5 件
24008	5 件
18171	5 件

IP

IP	Country	Count	AbuseIPDB
185[.]202[.]1[.]19	France	10789 件	Link
185[.]158[.]113[.]43	Russia	2170 件	Link
185[.]202[.]2[.]120	France	985 件	Link
185[.]202[.]1[.]85	France	907 件	Link
185[.]202[.]2[.]197	France	130 件	Link
185[.]153[.]198[.]243	Russia	118 件	Link
185[.]153[.]199[.]87	Russia	91 件	Link
92[.]63[.]194[.]241	Russia	90 件	Link
185[.]153[.]196[.]239	Russia	88 件	Link
185[.]153[.]199[.]81	Russia	84 件	Link
95[.]47[.]248[.]84	Ukraine	78 件	Link
92[.]63[.]194[.]21	Russia	77 件	Link
5[.]101[.]64[.]77	Russia	76 件	Link
185[.]202[.]2[.]149	France	51 件	Link
185[.]153[.]199[.]12	Russia	51 件	Link
195[.]54[.]167[.]225	Russia	32 件	Link
185[.]153[.]196[.]99	Russia	25 件	Link
185[.]202[.]2[.]9	France	22 件	Link
87[.]251[.]75[.]254	Russia	20 件	Link
185[.]202[.]0[.]27	United Kingdom	15 件	Link

Port 1433

IP	Country	Count	AbuseIPDB
45[.]239[.]183[.]129	Brazil	37943 件	Link
222[.]90[.]212[.]62	China	24539 件	Link
125[.]161[.]80[.]47	Indonesia	4642 件	Link
58[.]56[.]40[.]222	China	3096 件	Link
119[.]52[.]233[.]227	China	3090 件	Link
220[.]179[.]82[.]19	China	3085 件	Link
183[.]151[.]77[.]61	China	3077 件	Link
31[.]206[.]1[.]5	Turkey	1161 件	Link
222[.]174[.]23[.]10	China	175 件	Link
123[.]130[.]124[.]77	China	102 件	Link
103[.]193[.]149[.]4	China	94 件	Link
61[.]178[.]152[.]19	China	88 件	Link
58[.]249[.]54[.]170	China	86 件	Link
121[.]31[.]15[.]22	China	33 件	Link
85[.]95[.]191[.]36	Russia	12 件	Link
194[.]28[.]65[.]137	Ukraine	12 件	Link
27[.]155[.]87[.]173	China	3 件	Link
41[.]189[.]166[.]19	Ghana	2 件	Link
45[.]239[.]100[.]41	Brazil	2 件	Link
180[.]242[.]97[.]97	Indonesia	2 件	Link

sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/4/28)

Port(TOP20)

IP(TOP20)

URI Path

NEW URI Path

01 Honeytrap

02 WOWHoneypot

03 WOWHoneypot(SSL)

URI Path

Malware

RDP

Port/IP

Port

IP

Port 1433