Honeypot簡易分析(317日目:6/30)です。
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
| ポート番号 | サービス | 件数 | 件数差(30日平均) |
|---|---|---|---|
| 445 | smb | 3221 | -343 |
| 23 | telnet | 1700 | 286 |
| 5900 | vnc | 667 | -4317 |
| 2222 | unreg-ab2 | 257 | 233 |
| 502 | asa-appl-proto | 256 | 244 |
| 7610 | Unknown | 100 | 99 |
| 2323 | telnet | 92 | 10 |
| 3346 | trnsprntproxy | 92 | 72 |
| 33940 | Unknown | 92 | 74 |
| 1189 | Unknown | 90 | 71 |
<新規マルウェアダウンロード>
なし
◾️WoWHoneeypot
<国別検知数および検知数>
| path | target | CVE | reference | count |
|---|---|---|---|---|
| /manager/html | Tomcat | - | - | 4133 |
| /admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 25 |
| / | - | - | - | 24 |
| hxxp://110.249.212.46/testget | Unauthorized Relay | - | - | 2 |
| /HNAP1/ | D-Link DIR-850L | CVE-2015-2051 | https://www.morihi-soc.net/?p=981 | 1 |
| /mysql/admin/index.php | PhpMyAdmin | - | - | 1 |
| /robots.txt | - | - | - | 1 |
| /wp// | WordPress | - | - | 1 |
| /wp//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
| /wp/wp-login.php | WordPress | - | - | 1 |
Tomcatへの不正アクセスを検知していましたが、使用されたユーザ名もよく利用されているものでした。
| 認証(ユーザ名) | 検知数 |
|---|---|
| 123 | 413 |
| 123456 | 413 |
| admin | 413 |
| administrator | 413 |
| manager | 413 |
| role1 | 413 |
| root | 413 |
| test | 413 |
| tomcat | 413 |
<新規検知パス一覧>
| path | target | CVE | reference |
| //PhpMyAdmin/scripts/setup.php | phpMyAdmin | - | - |
| /id_rsa | ssh | - | - |
| /smb_scheduler/ | SimBankSchedulerServer | - | https://docuri.com/download/smb-server-install-guide_59c1dfd7f581710b2869684b_pdf |
| /user// | - | - | - |
| /user//wp-json/wp/v2/users/ | wordPress | - | - |
| /user/wp-login.php | wordPress | - | - |
