ハニーレポート

ハニーポット観測レポートを中心に書いていきます。

月間ハニーレポート2024年1月号

ハニーレポート2024年1月のアクセス記録を公開します。

 

デイリーアクセス

ymd

count

2023-12-31

20

2024-01-01

104

2024-01-02

84

2024-01-03

99

2024-01-04

77

2024-01-05

79

2024-01-06

76

2024-01-07

84

2024-01-08

81

2024-01-09

74

2024-01-10

76

2024-01-11

108

2024-01-12

1459

2024-01-13

179

2024-01-14

95

2024-01-15

228

2024-01-16

101

2024-01-17

105

2024-01-18

67

2024-01-19

236

2024-01-20

207

2024-01-21

73

2024-01-22

64

2024-01-23

79

2024-01-24

45

2024-01-25

57

2024-01-26

80

2024-01-27

60

2024-01-28

110

2024-01-29

98

2024-01-30

85

2024-01-31

44

IPアドレス

from_ip_address

count

85.204.70.112

764

141.98.11.107

633

146.19.24.23

168

192.9.231.225

159

109.116.148.33

128

43.139.241.127

128

47.98.221.20

123

78.153.140.30

82

179.43.163.210

75

78.153.140.37

74



 

ステータスコード

status_code

count

200

4407

401

27

 

 

HTTPメソッド別

res

count

GET

3927

POST

427

HEAD

48

CONNECT

31

OPTIONS

1

 

 

国別アクセス

country

count

United States

971

France

833

Lithuania

654

China

359

Russia

342

Poland

173

Italy

132

Switzerland

131

Netherlands

121

Germany

110



参考文献

 

 

 

 

 

12月ログ分析 気になるあいつ(IPアドレス)を調べていく! page2

 

12月のIPアドレス別アクセス数の中で多いアクセスを行ってきたIPアドレスを調べていきます。

 

honey-pot-report.hatenablog.com

12月のアクセスはこちら。

アクセス数 | IPアドレス

---------------------------------

685             | 61.244.206.142

684             | 210.204.31.167

221              | 138.68.224.69

221              | 128.199.137.235

178              | 195.140.227.163

147              | 162.222.204.54

128              | 113.197.109.29

104              | 78.153.140.30

102              | 78.153.140.37

  52              | 83.97.73.87

本日は12月684回とトップのアクセス数と1アクセスの差しかないほどアクセスをしてきた210.204.31.167IPアドレスを調べます。

それではログを見ていきましょう。

ログのアクセスはこちら。

   5 http://***.***.***.***/phpMyAdmin/

   4 http://***.***.***.***/phpMyAdmin-5.2.1-all-languages/

   4 http://***.***.***.***/phpMyAdmin-4.9.11-all-languages/

   3 http://***.***.***.***/pma/

   3 http://***.***.***.***/phpmyadmin/

   3 http://***.***.***.***/phpmyAdmin/

   3 http://***.***.***.***/phpmanager/

   3 http://***.***.***.***/phpMyAdmin-5.2.1-english/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-source/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-english/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-all-languages/

   3 http://***.***.***.***/phpMyAdmin-4.9.11-english/

   2 http://***.***.***.***/sqlmanager/

   2 http://***.***.***.***/sql/websql/

   2 http://***.***.***.***/sql/webdb/

   2 http://***.***.***.***/sql/webadmin/

   2 http://***.***.***.***/sql/sqlweb/

   2 http://***.***.***.***/sql/sqladmin/

   2 http://***.***.***.***/sql/sql/

   2 http://***.***.***.***/sql/sql-admin/

   2 http://***.***.***.***/sql/phpmyadmin4/

   2 http://***.***.***.***/sql/phpmyadmin3/

   2 http://***.***.***.***/sql/phpmyadmin2/

   2 http://***.***.***.***/sql/phpmy-admin/

   2 http://***.***.***.***/sql/phpmanager/

   2 http://***.***.***.***/sql/phpMyAdmin4/

   2 http://***.***.***.***/sql/phpMyAdmin3/

   2 http://***.***.***.***/sql/phpMyAdmin2/

   2 http://***.***.***.***/sql/phpMyAdmin/

   2 http://***.***.***.***/sql/php-myadmin/

   2 http://***.***.***.***/sql/myadmin/

※上記はろぐの一部です。

これもまたphpMyAdminPHPMySQLへの管理者ページへのアクセスを試みるアタックが多いです。

お前もかぁ〜!!!!

 

このIPアドレスのアタックの特徴は、

phpMyAdmin-5.2+snapshot-source

と、スナップショットへのアクセスがあります。

テスト、開発中のコードへのアクセスをしています。

ウェブのソースコードを盗み取るなどしていそうですね。

 

ちなみにこのIPアドレスは韓国からのアクセスになります。

IPアドレス調査を調べると住所が出てきます。

address:

このアドレスを見てみるとここです。

韓国の南の方ですね。

ソウルからだいぶ離れています。

場所はどうやら企業を指しています。

周りも街中で近くに運動場もあります。

 

ログ分析では、自身で運営しているハニーボットのアクセスログを分析してレポートしていきます。

 

 

 

 

 

 

 

アクセスは集中する

12月の最も多いアクセス日は12月25日でした。

この日だけでなんと1434のアクセスがきています。

一体誰なんでしょうか?

12月アクセス数

ログからIPアドレスを調べてみるとこちらでした。

アクセス数 IPアドレス

685 61.244.206.142

684 210.204.31.167

  20 85.209.176.64

   4 78.153.140.30

   4 31.7.58.42

   3 65.49.20.66

   3 193.35.18.187

   2 83.97.73.87

   2 78.153.140.37

   2 185.236.231.176

   2 185.16.38.88

   1 82.52.40.145

   1 66.240.236.116

   1 35.203.210.223

   1 35.202.9.133

   1 34.77.127.183

   1 34.140.248.32

   1 205.210.31.8

   1 198.235.24.95

   1 198.199.112.4

   1 193.35.18.89

   1 192.241.237.44

   1 190.11.14.78

   1 185.180.143.141

   1 176.195.38.243

   1 175.107.1.60

   1 167.99.36.80

   1 162.243.150.6

   1 159.223.138.47

   1 152.32.235.85

   1 146.190.47.101

   1 114.244.127.174

   1 107.170.237.73

   1 102.129.232.53

61.244.206.142と210.204.31.167・・・

今月の最多アクセストップ1、2じゃないかぁぁぁぁ!

この日にPHPの管理者ページに入ろうとしたりやPHP脆弱性をついた攻撃をした輩が集中したことになりますね。

 

honey-pot-report.hatenablog.com

 

 

honey-pot-report.hatenablog.com

honey-pot-report.hatenablog.com

 

 

 

12月ログ分析 気になるあいつ(IPアドレス)を調べていく! page1

12月のIPアドレス別アクセス数はハニーポットレポート12月にもレポートしています。

 

honey-pot-report.hatenablog.com

12月のアクセスはこちら。

アクセス数 | IPアドレス

---------------------------------

685             | 61.244.206.142

684             | 210.204.31.167

221              | 138.68.224.69

221              | 128.199.137.235

178              | 195.140.227.163

147              | 162.222.204.54

128              | 113.197.109.29

104              | 78.153.140.30

102              | 78.153.140.37

  52              | 83.97.73.87

本日は12月最も多いアクセスをしてきた61.244.206.142のIPアドレスを調べます。

どのようなアクセスをしてきているか見ていきます。

ログのURLを見ていくとこちらになります。

  5 http://***.***.***.***/phpMyAdmin/

   4 http://***.***.***.***/phpMyAdmin-5.2.1-all-languages/

   4 http://***.***.***.***/phpMyAdmin-4.9.11-all-languages/

   3 http://***.***.***.***/pma/

   3 http://***.***.***.***/phpmyadmin/

   3 http://***.***.***.***/phpmyAdmin/

   3 http://***.***.***.***/phpmanager/

   3 http://***.***.***.***/phpMyAdmin-5.2.1-english/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-source/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-english/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-all-languages/

   3 http://***.***.***.***/phpMyAdmin-4.9.11-english/

   2 http://***.***.***.***/sqlmanager/

   2 http://***.***.***.***/sql/websql/

   2 http://***.***.***.***/sql/webdb/

   2 http://***.***.***.***/sql/webadmin/

   2 http://***.***.***.***/sql/sqlweb/

   2 http://***.***.***.***/sql/sqladmin/

   2 http://***.***.***.***/sql/sql/

   2 http://***.***.***.***/sql/sql-admin/

※上記はろぐの一部です。

一部ですがログのアクセスを見ていると、PHPサーバの管理者ページへのアクセスまたはSQLの管理者ページにアクセスしていますね。

ありとあらゆるバージョンやURLを試していることがわかります。

 

ちなみにこのIPアドレスは香港からのアクセスになります。

IPアドレス調査を調べると住所が出てきます。

address: 15/F Trans Asia Centre

address: 18 Kin Hong Street, Kwai Chung

address: N.T.

このアドレスを見てみるとここです。

街のマンションのような高層の建物が並ぶ場所ですね。

雰囲気だけ見ると建物しかないんだけど・・・

と、怪しさが少し滲み出ていますw

 

今回のログ分析はここまでにしておきましょう。

ログ分析では、自身で運営しているハニーボットのアクセスログを分析してレポートしていきます。

 

 

 

 

 

 

 

12月ログ分析日記 XDEBUG_SESSION_START攻撃を発見する

12月のログ分析で気になるログをレポートしていきます。

本日のログはこちらです。

'GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1\nHost: ***.***.***.***:***\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36\nAccept-Encoding: gzip\nConnection: close\n\n'


上のログのこの部分が気になりますね。

XDEBUG_SESSION_START=phpstorm

phpstormと書かれているのでphpのライブラリを使った攻撃であることがわかるとも思います。

pleiades.io

PHPXDebugセッションを開始するためのクエリです。

よくワードプレスへの脆弱性を狙った攻撃で使われます。

デバッグモードを実行する処理となり、変数監視やブレークポイントでの処理の停止といったデバッグ操作ができます。

本番機でデバッグモードを有効にしておくことは、セキュリティ上で危険ですのでデバッグモードを無効にする必要がございます。

デバッグモードが有効になっているサーバに仕掛けているようですね。