【ハニーポット簡易分析】Honeypot簡易分析(2020/5/1)
/public/spread.php に対してバックドアを設置していると思われる通信を検知していました。 何の製品を狙ったものであるか特定はできていませんが。。。。
Port(TOP20)
- Honeytrap
Port | Service | Count |
---|---|---|
22 | The Secure Shell (SSH) Protocol | 3372 件 |
1433 | Microsoft-SQL-Server | 1536 件 |
445 | Microsoft-DS | 1458 件 |
3389 | MS WBT Server | 669 件 |
9943 | Unknown | 136 件 |
13 | Daytime | 101 件 |
1057 | STARTRON | 98 件 |
19101 | Unknown | 98 件 |
89 | SU/MIT Telnet Gateway | 97 件 |
49158 | Unknown | 96 件 |
2111 | OPNET Dynamic Sampling Agent Transaction Protocol | 96 件 |
10566 | Unknown | 95 件 |
8254 | Unknown | 94 件 |
9877 | The X.510 wrapper protocol | 94 件 |
8009 | NVMe over Fabrics Discovery Service | 93 件 |
5510 | Unknown | 93 件 |
6789 | GSS-API for the Oracle Remote Administration Daemon | 93 件 |
6567 | Unknown | 90 件 |
9200 | WAP connectionless session service | 88 件 |
3003 | CGMS | 88 件 |
IP(TOP20)
01 Honeytrap
IP | Country | Count | AbuseIPDB |
---|---|---|---|
185[.]202[.]1[.]19 | France | 8197 件 | Link |
185[.]202[.]2[.]77 | France | 3536 件 | Link |
185[.]158[.]113[.]43 | Russia | 1967 件 | Link |
51[.]68[.]128[.]161 | France | 1076 件 | Link |
185[.]202[.]2[.]120 | France | 895 件 | Link |
218[.]92[.]0[.]208 | China | 872 件 | Link |
185[.]202[.]1[.]10 | France | 847 件 | Link |
198[.]245[.]50[.]167 | Canada | 756 件 | Link |
27[.]115[.]124[.]74 | China | 541 件 | Link |
27[.]115[.]124[.]9 | China | 528 件 | Link |
27[.]115[.]124[.]10 | China | 521 件 | Link |
52[.]170[.]209[.]74 | United States | 482 件 | Link |
49[.]88[.]112[.]68 | China | 482 件 | Link |
27[.]115[.]124[.]75 | China | 467 件 | Link |
45[.]141[.]84[.]21 | Russia | 445 件 | Link |
198[.]108[.]67[.]48 | United States | 408 件 | Link |
92[.]63[.]194[.]15 | Russia | 329 件 | Link |
195[.]54[.]167[.]225 | Russia | 215 件 | Link |
111[.]206[.]250[.]230 | China | 188 件 | Link |
111[.]206[.]250[.]235 | China | 181 件 | Link |
02 WOWHoneypot
IP | Country | Count | AbuseIPDB |
---|---|---|---|
45[.]250[.]43[.]17 | China | 16 件 | Link |
77[.]247[.]108[.]119 | Estonia | 8 件 | Link |
128[.]14[.]134[.]170 | United States | 3 件 | Link |
80[.]82[.]68[.]72 | Netherlands | 3 件 | Link |
3[.]84[.]67[.]149 | United States | 2 件 | Link |
124[.]122[.]181[.]66 | Thailand | 2 件 | Link |
185[.]234[.]218[.]68 | Poland | 2 件 | Link |
162[.]243[.]142[.]155 | United States | 1 件 | Link |
206[.]189[.]187[.]99 | United States | 1 件 | Link |
50[.]198[.]14[.]142 | United States | 1 件 | Link |
202[.]62[.]13[.]68 | Indonesia | 1 件 | Link |
162[.]243[.]138[.]225 | United States | 1 件 | Link |
61[.]219[.]11[.]153 | Taiwan | 1 件 | Link |
37[.]145[.]248[.]134 | Russia | 1 件 | Link |
88[.]203[.]226[.]106 | Bulgaria | 1 件 | Link |
103[.]135[.]39[.]118 | India | 1 件 | Link |
139[.]162[.]119[.]197 | Japan | 1 件 | Link |
79[.]129[.]2[.]169 | Greece | 1 件 | Link |
186[.]233[.]178[.]39 | Brazil | 1 件 | Link |
196[.]52[.]43[.]86 | South Africa | 1 件 | Link |
03 WOWHoneypot(SSL)
IP | Country | Count | AbuseIPDB |
---|---|---|---|
45[.]250[.]43[.]17 | China | 16 件 | Link |
77[.]247[.]108[.]119 | Estonia | 8 件 | Link |
128[.]14[.]134[.]170 | United States | 3 件 | Link |
80[.]82[.]68[.]72 | Netherlands | 3 件 | Link |
3[.]84[.]67[.]149 | United States | 2 件 | Link |
124[.]122[.]181[.]66 | Thailand | 2 件 | Link |
185[.]234[.]218[.]68 | Poland | 2 件 | Link |
162[.]243[.]142[.]155 | United States | 1 件 | Link |
206[.]189[.]187[.]99 | United States | 1 件 | Link |
50[.]198[.]14[.]142 | United States | 1 件 | Link |
202[.]62[.]13[.]68 | Indonesia | 1 件 | Link |
162[.]243[.]138[.]225 | United States | 1 件 | Link |
61[.]219[.]11[.]153 | Taiwan | 1 件 | Link |
37[.]145[.]248[.]134 | Russia | 1 件 | Link |
88[.]203[.]226[.]106 | Bulgaria | 1 件 | Link |
103[.]135[.]39[.]118 | India | 1 件 | Link |
139[.]162[.]119[.]197 | Japan | 1 件 | Link |
79[.]129[.]2[.]169 | Greece | 1 件 | Link |
186[.]233[.]178[.]39 | Brazil | 1 件 | Link |
196[.]52[.]43[.]86 | South Africa | 1 件 | Link |
URI Path
NEW URI Path
01 Honeytrap
URI Path | Target | CVE | Memo |
---|---|---|---|
/playlist[.]m3u8 | HTTP Live Streaming (HLS) | - | - |
/setup[.]xml | - | - | - |
/stat | - | - | - |
02 WOWHoneypot
URI Path | Target | CVE | Memo |
---|---|---|---|
/public/spread[.]php | Unknown | - | - |
/clientaccesspolicy[.]xmlSilverlight | - | - | |
/s | - | - | - |
03 WOWHoneypot(SSL)
URI Path | Target | CVE | Memo |
---|---|---|---|
- | - | - | - |
URI Path
01 Honeytrap
URI Path | Target | CVE | Count |
---|---|---|---|
No uri path | - | - | 28739 件 |
/ | - | - | 615 件 |
/nice | - | - | 55 件 |
sip:nm | Session Initiation Protocol | - | 51 件 |
/ws/v1/cluster/apps/new-application | Apache Hadoop | - | 44 件 |
/version | - | - | 41 件 |
/api | api | - | 37 件 |
/hazelcast/rest/cluster | Open-Xchange AppSuite | CVE-2013-5936 | 32 件 |
login[.]cgi | D-Link Router | - | 31 件 |
/server-info | Apache | - | 31 件 |
SERVER | - | - | 31 件 |
/picsdesc[.]xml | Realtek SDK | CVE-2014-8361 | 21 件 |
/admin/assets/js/views/login[.]js | FreePBX | - | 7 件 |
/ctrlt/DeviceUpgrade_1 | Huawei Home Device | - | 7 件 |
hxxp://clientapi[.]ipip[.]net/echo[.]php | Unauthorized relay | - | 6 件 |
/cgi | CGI | - | 6 件 |
/shell | MVPower DVR | - | 5 件 |
[.][.]/[.][.]/proc/ | proc directory | - | 4 件 |
/home[.]asp | ASP file | - | 3 件 |
/login[.]cgi | D-Link Router | - | 3 件 |
/vpn/index[.]html | - | - | 3 件 |
/cgi-bin/luci | CGI | - | 3 件 |
/dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 3 件 |
/remote/login | VPN Login | - | 3 件 |
/index[.]asp | index | - | 3 件 |
/htmlV/welcomeMain[.]htm | Verizon Modem Router | - | 3 件 |
/manager/html | Apache Tomcat Manager | - | 3 件 |
/_search | Elasticsearch | - | 3 件 |
/playlist[.]m3u8 | New | - | 2 件 |
/api/v1/targets | api | - | 2 件 |
/api/v1/label/version/values | api | - | 2 件 |
hxxp://example[.]com/ | Unauthorized relay | - | 2 件 |
/setup/eureka_info | Google Home Hub | - | 2 件 |
/wls-wsat/CoordinatorPortType11 | Weblogic | CVE-2017-10271 | 2 件 |
/hudson | Unknown | - | 1 件 |
/setup[.]xml | New | - | 1 件 |
/status | - | - | 1 件 |
/stat | New | - | 1 件 |
/info | - | - | 1 件 |
/install[.]php | php | - | 1 件 |
rtsp://160[.]16[.]145[.]183:8554/ | Real Time Streaming Protocol | - | 1 件 |
/cgi-bin/webctrl[.]cgi | CGI | - | 1 件 |
/stats | - | - | 1 件 |
/db/manage/ | Database | - | 1 件 |
/securityRealm/user/admin/search/index | Administrator | - | 1 件 |
/solr/admin/info/system | Apache Solr | - | 1 件 |
/manager | Apache Tomcat Manager | - | 1 件 |
/_nodes | Unknown | - | 1 件 |
hxxp://123[.]125[.]114[.]144/ | Unauthorized relay | - | 1 件 |
/tmUnblock[.]cgi | Linksys E-series | - | 1 件 |
/v1/agent/self | Hashicorp Consul | - | 1 件 |
/jmx | JMX | - | 1 件 |
02 WOWHoneypot
URI Path | Target | CVE | Count |
---|---|---|---|
/ | - | - | 35 件 |
/admin/assets/js/views/login[.]js | FreePBX | - | 8 件 |
/public/index[.]php | - | - | 8 件 |
/public/index[.]php/ | - | - | 3 件 |
/cgi-bin/mainfunction[.]cgi | DrayTek | CVE-2020-8515 | 3 件 |
/public/spread[.]php | New | - | 2 件 |
/hudson | Unknown | - | 1 件 |
/clientaccesspolicy[.]xml | New | - | 1 件 |
/boaform/admin/formPing | Administrator | - | 1 件 |
/phpmyadmin/index[.]php | - | - | 1 件 |
/index[.]php | - | - | 1 件 |
/s | New | - | 1 件 |
/portal/redlion | Unknown | - | 1 件 |
/robots[.]txt | robots.txt | - | 1 件 |
/favicon[.]ico | favicon | - | 1 件 |
ip[.]ws[.]126[.]net:443 | Unauthorized Relay | - | 1 件 |
03 WOWHoneypot(SSL)
URI Path | Target | CVE | Count |
---|---|---|---|
/admin/assets/js/views/login[.]js | FreePBX | - | 7 件 |
/ | - | - | 6 件 |
/robots[.]txt | robots.txt | - | 1 件 |
/favicon[.]ico | favicon | - | 1 件 |
/owa/auth/logon[.]aspx | Microsoft Exchange Server | CVE-2018-16793 | 1 件 |
/home[.]asp | ASP file | - | 1 件 |
/login[.]cgi | D-Link Router | - | 1 件 |
/vpn/index[.]html | - | - | 1 件 |
/cgi-bin/luci | CGI | - | 1 件 |
/dana-na/auth/url_default/welcome[.]cgi | Pulse/Juniper Networks SA2000 SSL VPN | CVE-2019-11539/ | 1 件 |
/remote/login | VPN Login | - | 1 件 |
/index[.]asp | index | - | 1 件 |
/htmlV/welcomeMain[.]htm | Verizon Modem Router | - | 1 件 |
Malware
- Honeytrap
Malware | Localport | RemoteIP | URI Path | Count |
---|---|---|---|---|
hxxp://88[.]218[.]16[.]118/infect | 60001 | 37[.]49[.]226[.]217 | /shell | 2 件 |
hxxp://212[.]114[.]52[.]128/arm7 | 8089 | 184[.]162[.]45[.]52 | /cgi | 1 件 |
hxxp://176[.]123[.]3[.]96/arm7 | 8089 | 74[.]105[.]81[.]187 | /cgi | 1 件 |
hxxp://185[.]172[.]110[.]224/ab/arm7 | 60001 | 80[.]82[.]78[.]104 | /shell | 1 件 |
hxxp://185[.]62[.]189[.]18/jaws[.]sh | 60001 | 151[.]63[.]181[.]233 | /shell | 1 件 |
hxxp://178[.]33[.]64[.]107/arm7 | 8089 | 183[.]215[.]125[.]142 | /cgi | 1 件 |
hxxp://192[.]3[.]45[.]185/arm7 | 8089 | 75[.]148[.]156[.]244 | /cgi | 1 件 |
hxxp://178[.]33[.]64[.]107/arm7 | 8089 | 118[.]185[.]161[.]227 | /cgi | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6380 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6378 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6381 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
hxxp://d[.]powerofwish[.]com/pm[.]sh | 6379 | 113[.]214[.]30[.]171 | No uri path | 1 件 |
hxxp://192[.]3[.]45[.]185/arm7 | 8089 | 45[.]167[.]158[.]123 | /cgi | 1 件 |
hxxp://176[.]32[.]35[.]22/infect | 60001 | 37[.]49[.]226[.]213 | /shell | 1 件 |
hxxp://23[.]95[.]89[.]93/bins/mpsl | 8080 | 197[.]44[.]136[.]232 | /tmUnblock[.]cgi | 1 件 |
hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh | 9200 | 182[.]92[.]242[.]45 | /_search | 1 件 |
RDP
Port/IP
Port | IP | Country | Count | AbuseIPDB |
---|---|---|---|---|
3389 | 52[.]170[.]209[.]74 | United States | 482 件 | Link |
3389 | 95[.]47[.]248[.]84 | Ukraine | 79 件 | Link |
3389 | 95[.]217[.]108[.]101 | Germany | 9 件 | Link |
3389 | 222[.]174[.]105[.]82 | China | 6 件 | Link |
33890 | 222[.]186[.]20[.]98 | China | 6 件 | Link |
3390 | 193[.]169[.]252[.]136 | Poland | 4 件 | Link |
2398 | 185[.]202[.]2[.]120 | France | 4 件 | Link |
51215 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
13347 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
3389 | 104[.]206[.]128[.]66 | United States | 3 件 | Link |
4625 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
58712 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
13458 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
3389 | 212[.]92[.]122[.]56 | Netherlands | 3 件 | Link |
36191 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
9983 | 92[.]118[.]161[.]1 | Republic of Lithuania | 3 件 | Link |
11726 | 185[.]202[.]2[.]120 | France | 3 件 | Link |
45588 | 185[.]158[.]113[.]43 | Russia | 2 件 | Link |
53503 | 185[.]158[.]113[.]43 | Russia | 2 件 | Link |
18079 | 185[.]158[.]113[.]43 | Russia | 2 件 | Link |
Port
Port | Count |
---|---|
3389 | 659 件 |
3390 | 17 件 |
3393 | 12 件 |
3391 | 12 件 |
3396 | 11 件 |
3399 | 11 件 |
3395 | 10 件 |
3398 | 10 件 |
3388 | 10 件 |
3392 | 9 件 |
3397 | 9 件 |
3394 | 8 件 |
33389 | 8 件 |
33890 | 8 件 |
3387 | 7 件 |
3381 | 7 件 |
3380 | 7 件 |
3386 | 6 件 |
3384 | 6 件 |
23389 | 6 件 |
IP
IP | Country | Count | AbuseIPDB |
---|---|---|---|
185[.]202[.]1[.]19 | France | 8197 件 | Link |
185[.]202[.]2[.]77 | France | 3536 件 | Link |
185[.]158[.]113[.]43 | Russia | 1967 件 | Link |
185[.]202[.]2[.]120 | France | 895 件 | Link |
185[.]202[.]1[.]10 | France | 847 件 | Link |
52[.]170[.]209[.]74 | United States | 482 件 | Link |
45[.]141[.]84[.]21 | Russia | 445 件 | Link |
92[.]63[.]194[.]15 | Russia | 329 件 | Link |
195[.]54[.]167[.]225 | Russia | 215 件 | Link |
185[.]202[.]1[.]85 | France | 100 件 | Link |
95[.]47[.]248[.]84 | Ukraine | 79 件 | Link |
185[.]153[.]199[.]12 | Russia | 73 件 | Link |
185[.]153[.]196[.]99 | Russia | 70 件 | Link |
185[.]153[.]199[.]81 | Russia | 69 件 | Link |
92[.]63[.]194[.]21 | Russia | 69 件 | Link |
185[.]153[.]196[.]239 | Russia | 66 件 | Link |
185[.]153[.]199[.]87 | Russia | 62 件 | Link |
92[.]63[.]194[.]241 | Russia | 59 件 | Link |
79[.]124[.]62[.]38 | Bulgaria | 52 件 | Link |
185[.]202[.]1[.]28 | France | 38 件 | Link |
Port 1433
IP | Country | Count | AbuseIPDB |
---|---|---|---|
95[.]0[.]153[.]133 | Turkey | 102 件 | Link |
112[.]140[.]186[.]234 | Singapore | 102 件 | Link |
83[.]142[.]167[.]139 | Russia | 102 件 | Link |
124[.]47[.]2[.]194 | China | 102 件 | Link |
200[.]71[.]190[.]205 | Venezuela | 102 件 | Link |
175[.]188[.]188[.]205 | China | 102 件 | Link |
61[.]141[.]236[.]46 | China | 102 件 | Link |
203[.]251[.]73[.]253 | South Korea | 102 件 | Link |
121[.]22[.]19[.]213 | China | 101 件 | Link |
210[.]77[.]90[.]42 | China | 95 件 | Link |
122[.]226[.]73[.]86 | China | 92 件 | Link |
61[.]166[.]196[.]102 | China | 80 件 | Link |
222[.]179[.]220[.]252 | China | 76 件 | Link |
221[.]114[.]210[.]132 | Japan | 71 件 | Link |
58[.]220[.]248[.]188 | China | 52 件 | Link |
177[.]91[.]103[.]133 | Brazil | 43 件 | Link |
1[.]235[.]102[.]226 | South Korea | 16 件 | Link |
27[.]71[.]81[.]82 | Vietnam | 11 件 | Link |
125[.]65[.]79[.]95 | China | 9 件 | Link |
123[.]65[.]245[.]30 | China | 2 件 | Link |