【ハニーポット簡易分析】Honeypot簡易分析(2020/4/30)
フランスから大量のRDPの不正アクセスを狙ったと思われる通信を検知していました。
Port(TOP20)
- Honeytrap
| Port | Service | Count |
|---|---|---|
| 22 | The Secure Shell (SSH) Protocol | 2687 件 |
| 445 | Microsoft-DS | 1558 件 |
| 1433 | Microsoft-SQL-Server | 1499 件 |
| 3389 | MS WBT Server | 662 件 |
| 502 | Modbus Application Protocol | 252 件 |
| 515 | spooler | 94 件 |
| 28017 | Unknown | 80 件 |
| 9600 | MICROMUSE-NCPW | 70 件 |
| 81 | Unknown | 67 件 |
| 8081 | Sun Proxy Admin Service | 59 件 |
| 8080 | HTTP Alternate (see port 80) | 56 件 |
| 84 | Common Trace Facility | 52 件 |
| 5000 | Unknown | 48 件 |
| 5432 | PostgreSQL Database | 42 件 |
| 2323 | 3d-nfsd | 41 件 |
| 5008 | Synapsis EDGE | 39 件 |
| 5357 | Web Services for Devices | 39 件 |
| 139 | NETBIOS Session Service | 37 件 |
| 119 | Network News Transfer Protocol | 29 件 |
| 465 | URL Rendezvous Directory for SSMMessage Submission over TLS protocol | 26 件 |
IP(TOP20)
01 Honeytrap
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 185[.]202[.]1[.]19 | France | 10562 件 | Link |
| 185[.]158[.]113[.]43 | Russia | 2048 件 | Link |
| 205[.]247[.]24[.]10 | United States | 1782 件 | Link |
| 185[.]202[.]2[.]120 | France | 994 件 | Link |
| 198[.]245[.]50[.]167 | Canada | 938 件 | Link |
| 218[.]92[.]0[.]208 | China | 911 件 | Link |
| 185[.]202[.]1[.]10 | France | 898 件 | Link |
| 49[.]88[.]112[.]72 | China | 519 件 | Link |
| 185[.]202[.]1[.]85 | France | 503 件 | Link |
| 52[.]170[.]209[.]74 | United States | 480 件 | Link |
| 89[.]248[.]167[.]131 | Netherlands | 257 件 | Link |
| 195[.]54[.]167[.]225 | Russia | 230 件 | Link |
| 198[.]108[.]67[.]48 | United States | 109 件 | Link |
| 186[.]119[.]119[.]233 | Colombia | 103 件 | Link |
| 171[.]109[.]118[.]40 | China | 102 件 | Link |
| 198[.]255[.]110[.]219 | United States | 102 件 | Link |
| 124[.]160[.]119[.]86 | China | 102 件 | Link |
| 124[.]158[.]12[.]167 | Vietnam | 102 件 | Link |
| 61[.]187[.]189[.]30 | China | 102 件 | Link |
| 181[.]50[.]99[.]8 | Colombia | 102 件 | Link |
02 WOWHoneypot
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 77[.]247[.]108[.]119 | Estonia | 7 件 | Link |
| 5[.]101[.]0[.]209 | Russia | 7 件 | Link |
| 144[.]91[.]101[.]44 | Germany | 6 件 | Link |
| 178[.]124[.]194[.]162 | Belarus | 1 件 | Link |
| 185[.]173[.]60[.]7 | Lebanon | 1 件 | Link |
| 78[.]31[.]227[.]184 | Republic of Lithuania | 1 件 | Link |
| 162[.]243[.]136[.]15 | United States | 1 件 | Link |
| 172[.]105[.]89[.]161 | Germany | 1 件 | Link |
| 186[.]101[.]123[.]194 | Ecuador | 1 件 | Link |
| 134[.]169[.]109[.]83 | Germany | 1 件 | Link |
| 200[.]46[.]45[.]114 | Panama | 1 件 | Link |
| 62[.]173[.]152[.]144 | Russia | 1 件 | Link |
| 46[.]98[.]130[.]177 | Ukraine | 1 件 | Link |
| 176[.]121[.]190[.]144 | Russia | 1 件 | Link |
| 218[.]7[.]19[.]244 | China | 1 件 | Link |
| 117[.]239[.]149[.]94 | India | 1 件 | Link |
| 193[.]118[.]53[.]194 | Germany | 1 件 | Link |
| 192[.]241[.]202[.]244 | United States | 1 件 | Link |
| 200[.]93[.]10[.]247 | Venezuela | 1 件 | Link |
| 89[.]40[.]73[.]119 | Romania | 1 件 | Link |
03 WOWHoneypot(SSL)
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 77[.]247[.]108[.]119 | Estonia | 7 件 | Link |
| 5[.]101[.]0[.]209 | Russia | 7 件 | Link |
| 144[.]91[.]101[.]44 | Germany | 6 件 | Link |
| 178[.]124[.]194[.]162 | Belarus | 1 件 | Link |
| 185[.]173[.]60[.]7 | Lebanon | 1 件 | Link |
| 78[.]31[.]227[.]184 | Republic of Lithuania | 1 件 | Link |
| 162[.]243[.]136[.]15 | United States | 1 件 | Link |
| 172[.]105[.]89[.]161 | Germany | 1 件 | Link |
| 186[.]101[.]123[.]194 | Ecuador | 1 件 | Link |
| 134[.]169[.]109[.]83 | Germany | 1 件 | Link |
| 200[.]46[.]45[.]114 | Panama | 1 件 | Link |
| 62[.]173[.]152[.]144 | Russia | 1 件 | Link |
| 46[.]98[.]130[.]177 | Ukraine | 1 件 | Link |
| 176[.]121[.]190[.]144 | Russia | 1 件 | Link |
| 218[.]7[.]19[.]244 | China | 1 件 | Link |
| 117[.]239[.]149[.]94 | India | 1 件 | Link |
| 193[.]118[.]53[.]194 | Germany | 1 件 | Link |
| 192[.]241[.]202[.]244 | United States | 1 件 | Link |
| 200[.]93[.]10[.]247 | Venezuela | 1 件 | Link |
| 89[.]40[.]73[.]119 | Romania | 1 件 | Link |
URI Path
NEW URI Path
01 Honeytrap
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| /metrics | - | - | - |
| /search | - | - | - |
| /v2/_catalog | Docker | - | - |
02 WOWHoneypot
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| /0bef | Unknown | - | - |
03 WOWHoneypot(SSL)
| URI Path | Target | CVE | Memo |
|---|---|---|---|
| /web_shell_cmd[.]gch | ZTE F460/F660 | CVE-2014-2321 | - |
| /iLPX | Unknown | - | - |
| /x | Unknown | - | - |
URI Path
01 Honeytrap
| URI Path | Target | CVE | Count |
|---|---|---|---|
| No uri path | - | - | 24844 件 |
| / | - | - | 485 件 |
| login[.]cgi | D-Link Router | - | 36 件 |
| /ws/v1/cluster/apps/new-application | Apache Hadoop | - | 23 件 |
| /ctrlt/DeviceUpgrade_1 | Huawei Home Device | - | 14 件 |
| /nice | - | - | 12 件 |
| sip:nm | Session Initiation Protocol | - | 11 件 |
| /robots[.]txt | robots.txt | - | 9 件 |
| /cgi-bin/luci | CGI | - | 8 件 |
| /dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 8 件 |
| /remote/login | VPN Login | - | 8 件 |
| /index[.]asp | index | - | 8 件 |
| /htmlV/welcomeMain[.]htm | Verizon Modem Router | - | 8 件 |
| [.][.]/[.][.]/proc/ | proc directory | - | 8 件 |
| hxxp://clientapi[.]ipip[.]net/echo[.]php | Unauthorized relay | - | 8 件 |
| /picsdesc[.]xml | Realtek SDK | CVE-2014-8361 | 7 件 |
| /home[.]asp | ASP file | - | 6 件 |
| /login[.]cgi | D-Link Router | - | 6 件 |
| /vpn/index[.]html | - | - | 6 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 5 件 |
| /version | - | - | 5 件 |
| /cgi | CGI | - | 3 件 |
| /_ping | Unknown | - | 3 件 |
| /jmx | JMX | - | 3 件 |
| /service/extdirect | Sonatype Nexus Repository Manager | CVE-2019-7238 | 2 件 |
| /jars | Unknown | - | 2 件 |
| /v1[.]16/version | - | - | 2 件 |
| /api | api | - | 2 件 |
| /server-info | Apache | - | 2 件 |
| RTSP://160[.]16[.]145[.]183:8554/ | Real Time Streaming Protocol | - | 1 件 |
| hxxp://example[.]com/ | Unauthorized relay | - | 1 件 |
| hxxp://aandetransportandrecovery[.]co[.] uk/ |
Unauthorized relay | - | 1 件 |
| /info | - | - | 1 件 |
| /metrics | New | - | 1 件 |
| /solr/admin/info/system | Apache Solr | - | 1 件 |
| /v2/stats/self | ETCD API | - | 1 件 |
| /search | New | - | 1 件 |
| /v2/_catalog | New | - | 1 件 |
| hxxp://123[.]125[.]114[.]144/ | Unauthorized relay | - | 1 件 |
| /versions | - | - | 1 件 |
| /ipp | CUPS | CVE-2015-1158 | 1 件 |
| /stats | - | - | 1 件 |
| /db/manage/ | Database | - | 1 件 |
| /hazelcast/rest/cluster | Open-Xchange AppSuite | CVE-2013-5936 | 1 件 |
| SERVER | - | - | 1 件 |
| /v1[.]40/containers/json | Docker Engine API | - | 1 件 |
| /live/CPEManager/AXCampaignManager/delet e_cpes_by_ids |
Zyxel CNM SecuManager | - | 1 件 |
| /tmUnblock[.]cgi | Linksys E-series | - | 1 件 |
| rtsp://160[.]16[.]145[.]183:10554/ | Real Time Streaming Protocol | - | 1 件 |
| /_search | Elasticsearch | - | 1 件 |
02 WOWHoneypot
| URI Path | Target | CVE | Count |
|---|---|---|---|
| / | - | - | 25 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 7 件 |
| /cgi-bin/mainfunction[.]cgi | DrayTek | CVE-2020-8515 | 4 件 |
| /vendor/phpunit/phpunit/src/Util/PHP/eva l-stdin[.]php |
PHPUnit | CVE-2017-9841 | 2 件 |
| /muieblackcat | Muieblackcat(scan tool) | - | 1 件 |
| //phpMyAdmin/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
| //phpmyadmin/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
| //pma/scripts/setup[.]php | phpMyAdmin | - | 1 件 |
| //myadmin/scripts/setup[.]php | Administrator | - | 1 件 |
| //MyAdmin/scripts/setup[.]php | Administrator | - | 1 件 |
| /0bef | New | - | 1 件 |
| /manager/html | Apache Tomcat Manager | - | 1 件 |
| /portal/redlion | Unknown | - | 1 件 |
| /phpmyadmin | phpMyAdmin | - | 1 件 |
| /solr/admin/info/system | Apache Solr | - | 1 件 |
| /index[.]php | - | - | 1 件 |
| /api/jsonws/invoke | api | - | 1 件 |
| /ReportServer | SQL Server Reporting Services | CVE-2020-0618 | 1 件 |
| hxxp://www[.]proxylists[.]net/proxyjudge [.]php |
Unauthorized relay | - | 1 件 |
03 WOWHoneypot(SSL)
| URI Path | Target | CVE | Count |
|---|---|---|---|
| / | - | - | 12 件 |
| /admin/assets/js/views/login[.]js | FreePBX | - | 7 件 |
| /web_shell_cmd[.]gch | New | - | 3 件 |
| /vendor/phpunit/phpunit/src/Util/PHP/eva l-stdin[.]php |
PHPUnit | CVE-2017-9841 | 2 件 |
| /cgi-bin/luci | CGI | - | 2 件 |
| /dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 2 件 |
| /remote/login | VPN Login | - | 2 件 |
| /index[.]asp | index | - | 2 件 |
| /htmlV/welcomeMain[.]htm | Verizon Modem Router | - | 2 件 |
| /iLPX | New | - | 1 件 |
| /x | New | - | 1 件 |
| /home[.]asp | ASP file | - | 1 件 |
| /login[.]cgi | D-Link Router | - | 1 件 |
| /vpn/index[.]html | - | - | 1 件 |
| /owa/auth/logon[.]aspx | Microsoft Exchange Server | CVE-2018-16793 | 1 件 |
Malware
- Honeytrap
| Malware | Localport | RemoteIP | URI Path | Count |
|---|---|---|---|---|
| hxxp://178[.]33[.]64[.]107/arm7 | 8089 | 96[.]65[.]72[.]247 | /cgi | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6380 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6378 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6381 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6379 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
| hxxp://176[.]123[.]3[.]96/arm7 | 8089 | 69[.]41[.]128[.]33 | /cgi | 1 件 |
| hxxp://192[.]3[.]45[.]185/arm7 | 8089 | 93[.]46[.]112[.]134 | /cgi | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6379 | 125[.]46[.]11[.]67 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6378 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6380 | 125[.]46[.]11[.]67 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6381 | 125[.]46[.]11[.]67 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6379 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6378 | 125[.]46[.]11[.]67 | No uri path | 1 件 |
| hxxp://178[.]33[.]64[.]107/arm7 | 9673 | 156[.]110[.]25[.]26 | /live/CPEManager/AXCampaignManager/delete_cpes_by_ids | 1 件 |
| hxxp://147[.]75[.]67[.]253/bins/mpsl | 8080 | 121[.]174[.]147[.]44 | /tmUnblock[.]cgi | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6380 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
| hxxp://d[.]powerofwish[.]com/pm[.]sh | 6381 | 112[.]90[.]197[.]66 | No uri path | 1 件 |
RDP
Port/IP
| Port | IP | Country | Count | AbuseIPDB |
|---|---|---|---|---|
| 3389 | 52[.]170[.]209[.]74 | United States | 480 件 | Link |
| 3389 | 95[.]47[.]248[.]84 | Ukraine | 79 件 | Link |
| 3389 | 212[.]92[.]123[.]35 | Netherlands | 28 件 | Link |
| 3389 | 222[.]174[.]105[.]82 | China | 6 件 | Link |
| 3391 | 212[.]92[.]123[.]15 | Netherlands | 4 件 | Link |
| 14711 | 185[.]202[.]2[.]120 | France | 4 件 | Link |
| 56910 | 185[.]153[.]199[.]45 | Russia | 4 件 | Link |
| 40310 | 185[.]153[.]199[.]45 | Russia | 4 件 | Link |
| 44710 | 185[.]153[.]199[.]45 | Russia | 4 件 | Link |
| 5210 | 185[.]153[.]199[.]45 | Russia | 4 件 | Link |
| 30610 | 185[.]153[.]199[.]45 | Russia | 4 件 | Link |
| 3389 | 104[.]206[.]128[.]10 | United States | 3 件 | Link |
| 33951 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
| 53086 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
| 54519 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
| 3389 | 104[.]206[.]128[.]38 | United States | 3 件 | Link |
| 61744 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
| 53363 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
| 12698 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
| 3389 | 104[.]206[.]128[.]50 | United States | 3 件 | Link |
Port
| Port | Count |
|---|---|
| 3389 | 650 件 |
| 3390 | 12 件 |
| 3391 | 11 件 |
| 3392 | 10 件 |
| 3388 | 7 件 |
| 33389 | 6 件 |
| 23389 | 6 件 |
| 23704 | 5 件 |
| 17637 | 5 件 |
| 17584 | 5 件 |
| 19709 | 5 件 |
| 33891 | 5 件 |
| 18509 | 5 件 |
| 5000 | 5 件 |
| 18677 | 5 件 |
| 19749 | 5 件 |
| 24640 | 5 件 |
| 19996 | 5 件 |
| 19384 | 5 件 |
| 18582 | 5 件 |
IP
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 185[.]202[.]1[.]19 | France | 10562 件 | Link |
| 185[.]158[.]113[.]43 | Russia | 2048 件 | Link |
| 185[.]202[.]2[.]120 | France | 994 件 | Link |
| 185[.]202[.]1[.]10 | France | 898 件 | Link |
| 185[.]202[.]1[.]85 | France | 503 件 | Link |
| 52[.]170[.]209[.]74 | United States | 480 件 | Link |
| 195[.]54[.]167[.]225 | Russia | 230 件 | Link |
| 185[.]209[.]0[.]59 | Latvia | 91 件 | Link |
| 95[.]47[.]248[.]84 | Ukraine | 79 件 | Link |
| 212[.]92[.]123[.]35 | Netherlands | 28 件 | Link |
| 185[.]202[.]2[.]149 | France | 26 件 | Link |
| 141[.]98[.]81[.]79 | Panama | 22 件 | Link |
| 185[.]153[.]199[.]45 | Russia | 20 件 | Link |
| 92[.]63[.]194[.]21 | Russia | 19 件 | Link |
| 92[.]63[.]194[.]241 | Russia | 15 件 | Link |
| 185[.]153[.]199[.]12 | Russia | 14 件 | Link |
| 185[.]153[.]199[.]81 | Russia | 13 件 | Link |
| 185[.]153[.]196[.]239 | Russia | 11 件 | Link |
| 185[.]153[.]199[.]87 | Russia | 11 件 | Link |
| 185[.]202[.]2[.]132 | France | 8 件 | Link |
Port 1433
| IP | Country | Count | AbuseIPDB |
|---|---|---|---|
| 171[.]109[.]118[.]40 | China | 102 件 | Link |
| 198[.]255[.]110[.]219 | United States | 102 件 | Link |
| 124[.]160[.]119[.]86 | China | 102 件 | Link |
| 124[.]158[.]12[.]167 | Vietnam | 102 件 | Link |
| 61[.]187[.]189[.]30 | China | 102 件 | Link |
| 181[.]50[.]99[.]8 | Colombia | 102 件 | Link |
| 186[.]119[.]119[.]233 | Colombia | 102 件 | Link |
| 222[.]73[.]136[.]163 | China | 100 件 | Link |
| 220[.]248[.]36[.]53 | China | 93 件 | Link |
| 221[.]131[.]189[.]41 | China | 91 件 | Link |
| 222[.]184[.]35[.]136 | China | 87 件 | Link |
| 113[.]105[.]151[.]99 | China | 73 件 | Link |
| 103[.]239[.]165[.]45 | Indonesia | 70 件 | Link |
| 45[.]167[.]76[.]7 | Brazil | 64 件 | Link |
| 60[.]255[.]187[.]232 | China | 54 件 | Link |
| 45[.]185[.]208[.]208 | Brazil | 37 件 | Link |
| 203[.]7[.]167[.]25 | Hong Kong | 30 件 | Link |
| 66[.]220[.]12[.]92 | United States | 16 件 | Link |
| 202[.]100[.]211[.]228 | China | 4 件 | Link |
| 115[.]23[.]172[.]118 | South Korea | 3 件 | Link |
