【ハニーポット簡易分析】Honeypot簡易分析(2020/4/29)
今までと比較して、Port1433宛の通信がかなり減りました。。。何があったのだろうか。。。。
Port(TOP20)
- Honeytrap
| Port | Service | Count |
|---|---|---|
| 22 | The Secure Shell (SSH) Protocol | 2797 件 |
| 445 | Microsoft-DS | 1776 件 |
| 1433 | Microsoft-SQL-Server | 791 件 |
| 3389 | MS WBT Server | 272 件 |
| 37777 | Unknown | 149 件 |
| 81 | Unknown | 116 件 |
| 5901 | Unknown | 83 件 |
| 1167 | Cisco IP SLAs Control Protocol | 78 件 |
| 6379 | An advanced key-value cache and store | 62 件 |
| 6666 | Unknown | 54 件 |
| 79 | Finger | 52 件 |
| 8080 | HTTP Alternate (see port 80) | 51 件 |
| 8081 | Sun Proxy Admin Service | 47 件 |
| 5672 | AMQP | 46 件 |
| 9092 | Xml-Ipc Server Reg | 45 件 |
| 139 | NETBIOS Session Service | 45 件 |
| 1200 | SCOL | 43 件 |
| 8088 | Radan HTTP | 42 件 |
| 5984 | CouchDB | 40 件 |
| 465 | URL Rendezvous Directory for SSMMessage Submission over TLS protocol | 32 件 |
IP(TOP20)
01 Honeytrap
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 185[.]202[.]1[.]19 | France | 11558 件 | Link |
| 198[.]108[.]67[.]48 | United States | 5676 件 | Link |
| 185[.]158[.]113[.]43 | Russia | 2172 件 | Link |
| 205[.]247[.]24[.]10 | United States | 1858 件 | Link |
| 198[.]245[.]50[.]167 | Canada | 1271 件 | Link |
| 185[.]202[.]2[.]120 | France | 996 件 | Link |
| 218[.]92[.]0[.]208 | China | 885 件 | Link |
| 185[.]202[.]1[.]10 | France | 818 件 | Link |
| 49[.]88[.]112[.]70 | China | 379 件 | Link |
| 194[.]61[.]24[.]119 | Netherlands | 343 件 | Link |
| 185[.]202[.]1[.]85 | France | 223 件 | Link |
| 35[.]204[.]156[.]167 | Unknown | 131 件 | Link |
| 80[.]82[.]65[.]74 | Netherlands | 118 件 | Link |
| 58[.]39[.]107[.]88 | China | 102 件 | Link |
| 14[.]152[.]80[.]11 | China | 102 件 | Link |
| 157[.]56[.]8[.]39 | United States | 102 件 | Link |
| 59[.]120[.]12[.]57 | Taiwan | 101 件 | Link |
| 221[.]210[.]52[.]145 | China | 98 件 | Link |
| 95[.]47[.]248[.]84 | Ukraine | 79 件 | Link |
| 112[.]95[.]173[.]173 | China | 78 件 | Link |
02 WOWHoneypot
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 62[.]33[.]140[.]2 | Russia | 9 件 | Link |
| 120[.]79[.]222[.]186 | China | 9 件 | Link |
| 81[.]200[.]9[.]16 | Russia | 9 件 | Link |
| 77[.]247[.]108[.]119 | Estonia | 7 件 | Link |
| 5[.]101[.]0[.]209 | Russia | 7 件 | Link |
| 84[.]52[.]97[.]249 | Russia | 6 件 | Link |
| 35[.]226[.]79[.]112 | United States | 4 件 | Link |
| 180[.]241[.]246[.]23 | Indonesia | 1 件 | Link |
| 34[.]221[.]208[.]148 | United States | 1 件 | Link |
| 190[.]93[.]138[.]68 | Colombia | 1 件 | Link |
| 91[.]232[.]217[.]160 | Russia | 1 件 | Link |
| 145[.]255[.]1[.]16 | Russia | 1 件 | Link |
| 108[.]24[.]172[.]118 | United States | 1 件 | Link |
| 45[.]13[.]93[.]82 | Germany | 1 件 | Link |
| 78[.]165[.]110[.]34 | Turkey | 1 件 | Link |
| 217[.]247[.]112[.]55 | Germany | 1 件 | Link |
| 45[.]175[.]181[.]2 | Brazil | 1 件 | Link |
| 190[.]128[.]154[.]222 | Paraguay | 1 件 | Link |
| 74[.]105[.]241[.]2 | United States | 1 件 | Link |
| 170[.]244[.]201[.]248 | Brazil | 1 件 | Link |
03 WOWHoneypot(SSL)
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 62[.]33[.]140[.]2 | Russia | 9 件 | Link |
| 120[.]79[.]222[.]186 | China | 9 件 | Link |
| 81[.]200[.]9[.]16 | Russia | 9 件 | Link |
| 77[.]247[.]108[.]119 | Estonia | 7 件 | Link |
| 5[.]101[.]0[.]209 | Russia | 7 件 | Link |
| 84[.]52[.]97[.]249 | Russia | 6 件 | Link |
| 35[.]226[.]79[.]112 | United States | 4 件 | Link |
| 180[.]241[.]246[.]23 | Indonesia | 1 件 | Link |
| 34[.]221[.]208[.]148 | United States | 1 件 | Link |
| 190[.]93[.]138[.]68 | Colombia | 1 件 | Link |
| 91[.]232[.]217[.]160 | Russia | 1 件 | Link |
| 145[.]255[.]1[.]16 | Russia | 1 件 | Link |
| 108[.]24[.]172[.]118 | United States | 1 件 | Link |
| 45[.]13[.]93[.]82 | Germany | 1 件 | Link |
| 78[.]165[.]110[.]34 | Turkey | 1 件 | Link |
| 217[.]247[.]112[.]55 | Germany | 1 件 | Link |
| 45[.]175[.]181[.]2 | Brazil | 1 件 | Link |
| 190[.]128[.]154[.]222 | Paraguay | 1 件 | Link |
| 74[.]105[.]241[.]2 | United States | 1 件 | Link |
| 170[.]244[.]201[.]248 | Brazil | 1 件 | Link |
URI Path
NEW URI Path
01 Honeytrap
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| /invoker/EJBInvokerServlet | omcat/JBoss | CVE-2013-4810 | - |
| /dfshealth[.]htmlHadoop | - | - | - |
02 WOWHoneypot
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| - | - | - | - |
03 WOWHoneypot(SSL)
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| /axis2/services/Cat/exec | Apache Axis2 | - | - |
URI Path
01 Honeytrap
| URI Path | Target | CVE | Count |
|---|---|---|---|
| No uri path | - | - | 28640 件 |
| / | - | - | 2317 件 |
| login[.]cgi | D-Link Router | - | 38 件 |
| /ws/v1/cluster/apps/new-application | Apache Hadoop | - | 31 件 |
| hxxp://112[.]35[.]53[.]83:8088/index[.]p hp |
- | - | 16 件 |
| /nice | - | - | 15 件 |
| sip:nm | Session Initiation Protocol | - | 13 件 |
| hxxp://112[.]35[.]88[.]28:8088/index[.]p hp |
- | - | 12 件 |
| /picsdesc[.]xml | Realtek SDK | CVE-2014-8361 | 11 件 |
| /robots[.]txt | robots.txt | - | 10 件 |
| hxxp://112[.]35[.]66[.]7:8088/index[.]ph p |
- | - | 8 件 |
| /ctrlt/DeviceUpgrade_1 | Huawei Home Device | - | 7 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 5 件 |
| /home[.]asp | ASP file | - | 5 件 |
| /login[.]cgi | D-Link Router | - | 5 件 |
| /vpn/index[.]html | - | - | 5 件 |
| /cgi-bin/luci | CGI | - | 5 件 |
| /dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 5 件 |
| /remote/login | VPN Login | - | 5 件 |
| /index[.]asp | index | - | 5 件 |
| /htmlV/welcomeMain[.]htm | Verizon Modem Router | - | 5 件 |
| hxxp://112[.]35[.]63[.]31:8088/index[.]p hp |
- | - | 5 件 |
| /manager/html | Apache Tomcat Manager | - | 5 件 |
| /jmx | JMX | - | 4 件 |
| hxxp://clientapi[.]ipip[.]net/echo[.]php | Unauthorized relay | - | 4 件 |
| hxxp://123[.]125[.]114[.]144/ | Unauthorized relay | - | 4 件 |
| /version | - | - | 4 件 |
| hxxp://112[.]124[.]42[.]80:63435/ | Unauthorized relay | - | 4 件 |
| /live/CPEManager/AXCampaignManager/delet e_cpes_by_ids |
Zyxel CNM SecuManager | - | 2 件 |
| hxxp://5[.]188[.]210[.]101/echo[.]php | Unauthorized relay | - | 2 件 |
| /jars | Unknown | - | 2 件 |
| /service/extdirect | Sonatype Nexus Repository Manager | CVE-2019-7238 | 2 件 |
| /cgi | CGI | - | 2 件 |
| /cgi-bin/nobody/ | CGI | - | 1 件 |
| /solr/admin/info/system | Apache Solr | - | 1 件 |
| /cgi-bin/authLogin[.]cgi | CGI | - | 1 件 |
| /master-status | Unknown | - | 1 件 |
| /invoker/EJBInvokerServlet | New | - | 1 件 |
| hxxp://example[.]com/ | Unauthorized relay | - | 1 件 |
| /v1[.]16/version | - | - | 1 件 |
| /shell | MVPower DVR | - | 1 件 |
| /stats | - | - | 1 件 |
| /db/manage/ | Database | - | 1 件 |
| /tmUnblock[.]cgi | Linksys E-series | - | 1 件 |
| hxxp://aandetransportandrecovery[.]co[.] uk/ |
Unauthorized relay | - | 1 件 |
| [.][.]/[.][.]/proc/ | proc directory | - | 1 件 |
| /_search | Elasticsearch | - | 1 件 |
| /dfshealth[.]html | New | - | 1 件 |
| /sitemap[.]xml | XML sitemap | - | 1 件 |
| /hudson | Unknown | - | 1 件 |
02 WOWHoneypot
| URI Path | Target | CVE | Count |
|---|---|---|---|
| / | - | - | 35 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 7 件 |
| /cgi-bin/mainfunction[.]cgi | DrayTek | CVE-2020-8515 | 7 件 |
| /phpMyAdmin/scripts/setup[.]php | phpMyAdmin | - | 4 件 |
| /home[.]asp | ASP file | - | 3 件 |
| /login[.]cgi | D-Link Router | - | 3 件 |
| /vpn/index[.]html | - | - | 3 件 |
| /cgi-bin/luci | CGI | - | 3 件 |
| /dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 3 件 |
| /remote/login | VPN Login | - | 3 件 |
| /index[.]asp | index | - | 3 件 |
| /htmlV/welcomeMain[.]htm | Verizon Modem Router | - | 3 件 |
| /vendor/phpunit/phpunit/src/Util/PHP/eva l-stdin[.]php |
PHPUnit | CVE-2017-9841 | 2 件 |
| /boaform/admin/formPing | Administrator | - | 2 件 |
| ip[.]ws[.]126[.]net:443 | Unauthorized Relay | - | 1 件 |
| /phpmyadmin/ | phpMyAdmin | - | 1 件 |
| /solr/admin/info/system | Apache Solr | - | 1 件 |
| /index[.]php | - | - | 1 件 |
| /api/jsonws/invoke | api | - | 1 件 |
| /portal/redlion | Unknown | - | 1 件 |
| /adv,/cgi-bin/weblogin[.]cgi | Zyxel NAS | CVE-2020-9054 | 1 件 |
| /cdn-cgi/trace | Cloudflare | - | 1 件 |
| /hudson | Unknown | - | 1 件 |
03 WOWHoneypot(SSL)
| URI Path | Target | CVE | Count |
|---|---|---|---|
| / | - | - | 13 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 7 件 |
| /home[.]asp | ASP file | - | 3 件 |
| /login[.]cgi | D-Link Router | - | 3 件 |
| /vpn/index[.]html | - | - | 3 件 |
| /cgi-bin/luci | CGI | - | 3 件 |
| /dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 3 件 |
| /remote/login | VPN Login | - | 3 件 |
| /index[.]asp | index | - | 3 件 |
| /htmlV/welcomeMain[.]htm | Verizon Modem Router | - | 3 件 |
| /owa/auth/logon[.]aspx | Microsoft Exchange Server | CVE-2018-16793 | 2 件 |
| /axis2/services/Cat/exec | New | - | 1 件 |
| /login | Login Page | - | 1 件 |
| /version | - | - | 1 件 |
| /index[.]php | - | - | 1 件 |
| /api/jsonws/invoke | api | - | 1 件 |
Malware
- Honeytrap
| Malware | Localport | RemoteIP | URI Path | Count |
|---|---|---|---|---|
| hxxp://2[.]56[.]240[.]32/bins/Hilix[.]mips | 52869 | 45[.]148[.]10[.]50 | /picsdesc[.]xml | 2 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6381 | 125[.]46[.]11[.]67 | No uri path | 1 件 |
| hxxp://5[.]206[.]227[.]18/curl | 5555 | 68[.]183[.]87[.]54 | No uri path | 1 件 |
| hxxp://178[.]33[.]64[.]107/arm7 | 9673 | 45[.]65[.]222[.]136 | /live/CPEManager/AXCampaignManager/delete_cpes_by_ids | 1 件 |
| hxxp://192[.]192[.]78[.]216:9090/gH/S0[.]php | 8080 | 77[.]182[.]23[.]20 | /cgi-bin/authLogin[.]cgi | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6378 | 125[.]46[.]11[.]67 | No uri path | 1 件 |
| hxxp://179[.]43[.]147[.]86/mips | 52869 | 37[.]49[.]226[.]130 | /picsdesc[.]xml | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6379 | 125[.]46[.]11[.]67 | No uri path | 1 件 |
| hxxp://178[.]32[.]148[.]5/arm7 | 8089 | 118[.]70[.]177[.]235 | /cgi | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6380 | 125[.]46[.]11[.]67 | No uri path | 1 件 |
| hxxp://176[.]123[.]3[.]96/arm7 | 8089 | 93[.]41[.]129[.]126 | /cgi | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6380 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6379 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6381 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
| hxxp://185[.]172[.]110[.]224/ab/arm7 | 60001 | 80[.]82[.]78[.]104 | /shell | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6378 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
| hxxp://147[.]75[.]67[.]253/bins/mpsl | 8080 | 218[.]148[.]229[.]143 | /tmUnblock[.]cgi | 1 件 |
| hxxp://178[.]33[.]64[.]107/arm7 | 9673 | 96[.]86[.]248[.]165 | /live/CPEManager/AXCampaignManager/delete_cpes_by_ids | 1 件 |
RDP
Port/IP
| Port | IP | Country | Count | AbuseIPDB |
|---|---|---|---|---|
| 3389 | 95[.]47[.]248[.]84 | Ukraine | 79 件 | Link |
| 3389 | 52[.]170[.]209[.]74 | United States | 64 件 | Link |
| 3389 | 212[.]92[.]123[.]5 | Netherlands | 19 件 | Link |
| 3389 | 222[.]174[.]105[.]82 | China | 6 件 | Link |
| 3389 | 95[.]217[.]74[.]143 | Germany | 6 件 | Link |
| 17656 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 22991 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 18410 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 18246 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 19407 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 19313 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 24798 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 23505 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 24517 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 19647 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 18615 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 23342 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 18961 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 17114 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
| 19527 | 185[.]202[.]1[.]19 | France | 4 件 | Link |
Port
| Port | Count |
|---|---|
| 3389 | 256 件 |
| 3390 | 11 件 |
| 3391 | 10 件 |
| 3392 | 8 件 |
| 19180 | 7 件 |
| 18239 | 7 件 |
| 22814 | 7 件 |
| 24254 | 6 件 |
| 19733 | 6 件 |
| 23389 | 6 件 |
| 23497 | 6 件 |
| 33890 | 5 件 |
| 33892 | 5 件 |
| 3397 | 5 件 |
| 3394 | 5 件 |
| 23505 | 5 件 |
| 18615 | 5 件 |
| 23342 | 5 件 |
| 18764 | 5 件 |
| 3399 | 5 件 |
IP
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 185[.]202[.]1[.]19 | France | 11558 件 | Link |
| 185[.]158[.]113[.]43 | Russia | 2172 件 | Link |
| 185[.]202[.]2[.]120 | France | 996 件 | Link |
| 185[.]202[.]1[.]10 | France | 818 件 | Link |
| 194[.]61[.]24[.]119 | Netherlands | 343 件 | Link |
| 185[.]202[.]1[.]85 | France | 223 件 | Link |
| 95[.]47[.]248[.]84 | Ukraine | 79 件 | Link |
| 52[.]170[.]209[.]74 | United States | 64 件 | Link |
| 185[.]153[.]199[.]12 | Russia | 34 件 | Link |
| 185[.]202[.]0[.]27 | United Kingdom | 31 件 | Link |
| 195[.]54[.]160[.]99 | Russia | 25 件 | Link |
| 185[.]202[.]2[.]149 | France | 24 件 | Link |
| 195[.]54[.]167[.]225 | Russia | 19 件 | Link |
| 212[.]92[.]123[.]5 | Netherlands | 19 件 | Link |
| 185[.]176[.]222[.]39 | Latvia | 16 件 | Link |
| 31[.]13[.]191[.]90 | Sweden | 12 件 | Link |
| 185[.]202[.]1[.]36 | France | 11 件 | Link |
| 163[.]172[.]68[.]20 | United Kingdom | 8 件 | Link |
| 185[.]202[.]2[.]244 | France | 8 件 | Link |
| 185[.]209[.]0[.]59 | Latvia | 8 件 | Link |
Port 1433
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 58[.]39[.]107[.]88 | China | 102 件 | Link |
| 14[.]152[.]80[.]11 | China | 102 件 | Link |
| 157[.]56[.]8[.]39 | United States | 102 件 | Link |
| 59[.]120[.]12[.]57 | Taiwan | 101 件 | Link |
| 221[.]210[.]52[.]145 | China | 98 件 | Link |
| 112[.]95[.]173[.]173 | China | 78 件 | Link |
| 111[.]202[.]166[.]17 | China | 59 件 | Link |
| 113[.]6[.]252[.]219 | China | 41 件 | Link |
| 200[.]219[.]199[.]188 | Brazil | 18 件 | Link |
| 185[.]234[.]219[.]85 | Poland | 6 件 | Link |
| 115[.]23[.]172[.]118 | South Korea | 3 件 | Link |
| 198[.]108[.]67[.]48 | United States | 3 件 | Link |
| 221[.]229[.]174[.]149 | China | 2 件 | Link |
| 196[.]189[.]130[.]14 | Ethiopia | 2 件 | Link |
| 182[.]120[.]80[.]42 | China | 2 件 | Link |
| 60[.]162[.]23[.]222 | China | 2 件 | Link |
| 61[.]148[.]238[.]4 | China | 1 件 | Link |
| 112[.]25[.]69[.]55 | China | 1 件 | Link |
| 114[.]97[.]230[.]63 | China | 1 件 | Link |
| 101[.]234[.]76[.]77 | China | 1 件 | Link |
