WOWHoneypot
ハニーポット「WOWHoneypot」で2019/02/22 (金) 00:00~23:59 UTC(運用50日目)に取得したログの簡易分析です。
WebShellの探査に加えて、WebShellへのコマンド実行指示と思われるアクセスを初めて観測しました。
概況
- 集計期間 : 2019/02/22 (金) 00:00~23:59 UTC
- 総アクセス件数 : 33 件(前日比 -112 件)
- トップページへのアクセス : 28 件
- WebShell関連 : 4 件
- WebShellの探査開始の合図 : 1 件
- WebShellの探査 : 1 件
- WebShellへのコマンド実行指示と思われるアクセス : 2 件
- 不明 : 1 件
- ユニークIPアドレス件数 : 28 件 (前日比 +18 件)
- アクセス元の国数 : 13 カ国 (前日比 +4 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | Brazil | 8 | 8. | 1 | +7 | - |
| 2. | China | 5 | - | 0 | +5 | - |
| 3. | Taiwan | 4 | 5. | 1 | +3 | - |
| 4. | United States | 3 | 2. | 2 | +1 | - |
| 5. | India | 3 | - | 0 | +3 | - |
| 6. | Turkey | 2 | 7. | 1 | +1 | - |
| 7. | Germany | 2 | 3. | 1 | +1 | - |
| 8. | Canada | 1 | - | 0 | +1 | - |
| 9. | Vietnam | 1 | - | 0 | +1 | - |
| 10. | Australia | 1 | - | 0 | +1 | - |
| 11. | Russia | 1 | - | 0 | +1 | - |
| 12. | Libya | 1 | - | 0 | +1 | - |
| 13. | South Africa | 1 | - | 0 | +1 | - |
アクセス先
- WebShellの探査に加えて、WebShellへのコマンド実行指示と思われるアクセスを初めて観測しました。
- 2日連続でZGrabによるスキャンを観測しました。
- 件数は3件で、User-Agentは
Mozilla/5.0 zgrab/0.xでした。
- 件数は3件で、User-Agentは
アクセス先一覧
アクセス先の一覧は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | トップページへのアクセス | GET / HTTP/1.1 | 21 | 1. | 6 | +15 |
| 2. | トップページへのアクセス | GET / HTTP/1.0 | 7 | 132. | 1 | +6 |
| 3. | 不明 | GET /mailer/admin/index.php HTTP/1.1 | 1 | - | 0 | +1 |
| 4. | WebShellの探査開始の合図 | GET //? HTTP/1.0 | 1 | - | 0 | +1 |
| 5. | WebShellの探査 | GET //cmx.php? HTTP/1.0 | 1 | - | 0 | +1 |
| 6. | WebShellへのコマンド実行指示と思われるアクセス | GET //cmx.php?cmd=ls%20-al HTTP/1.0 | 1 | - | 0 | +1 |
| 7. | WebShellへのコマンド実行指示と思われるアクセス | GET //cmx.php?cmd=dir HTTP/1.0 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。
