ハニーレポート10月のアクセス記録を公開します。

デイリーアクセス

日付　　アクセス数
2023-10-01     72
2023-10-02    281
2023-10-03    265
2023-10-04    109
2023-10-05    194
2023-10-06     98
2023-10-07     66
2023-10-08    102
2023-10-09    232
2023-10-10    232
2023-10-11    174
2023-10-12    612
2023-10-13    660
2023-10-14     97
2023-10-15     83
2023-10-16     87
2023-10-17    219
2023-10-18     81
2023-10-19    241
2023-10-20     67
2023-10-21    164
2023-10-22    408
2023-10-23     69
2023-10-24     81
2023-10-25     75
2023-10-26     91
2023-10-27    642
2023-10-28    137
2023-10-29    242
2023-10-30    302
2023-10-31     58

URL別

URL
GET / HTTP/1.1                   1528
GET /manager/html HTTP/1.1       1358
GET /.env HTTP/1.1                132
POST / HTTP/1.1                   104
GET /favicon.ico HTTP/1.1          84

ステータスコード別

ステータスコード

200    4883
401    1358

HTTPメソッド別

HTTPメソッド
GET        5484
POST        678
CONNECT      57
HEAD         22

IPアドレス別

IPアドレス　　アクセス数
138.68.224.69     1232
179.43.163.130     587
129.146.38.85      159
171.22.108.232     159
60.166.159.156     154
141.98.11.165      154
43.225.64.131      128
212.60.48.183      128
45.119.212.29      128
174.138.40.44      128

国別アクセス

国別集計
United States    3278
Switzerland       719
Netherlands       353
China             259
Lithuania         241

参考文献

WOWHoneypotの遊びかた　“おもてなし”機能でサイバー攻撃を観察する！ (技術の泉シリーズ（NextPublishing）)

• 作者:森久 和昭
• インプレスR&D

Amazon

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

• 作者:Paul Troncone,Carl Albing
• オライリー・ジャパン

Amazon

更新があります。

毎月レポートしているハニーポットのログ集計結果に新しくどこの国からのアクセスか集計した結果を追加します。

9月のレポートから追加します。

集計方法はIPアドレスからどこの国からかを識別します。

IPアドレスは国ごとに範囲が決まっているので、IPアドレスからどこの国からのアクセスかわかります。

下記を参考にすると良いでしょう。

dev.classmethod.jp

上記の記事にも記載されていますが、IPアドレスの範囲と国の対応をまとめたデータベースが下記サイトから使用すると実装が簡単になります。

※使用には登録が必要です。

dev.maxmind.com

国別アクセス

今回は参考に8月の国別アクセスの集計結果を載せます。

米国が最も多く次に意外にもオランダ。

アルゼンチンが多いのも気になります。

あとは安定の中国とロシアです。

country
United States    908
Netherlands      447
Argentina        412
China            411
Russia           321

まぁあくまで参考です。

VPN接続やIPアドレスの詐称、中継からのアクセスが日常茶飯事ですので、ほとんど機械的にアクセスしている輩です。

しかし、どこの国からが多いか見るのもなかなか面白いものです。

9月のハニーレポートからはこちらの国別アクセスも載せていきます。

参考文献

マスタリングLinuxシェルスクリプト 第2版 ―Linuxコマンド、bashスクリプト、シェルプログラミング実践入門

• 作者:Mokhtar Ebrahim,Andrew Mallett
• オライリージャパン

Amazon

WOWHoneypotの遊びかた　“おもてなし”機能でサイバー攻撃を観察する！ 技術の泉シリーズ (技術の泉シリーズ（NextPublishing）)

• 作者:森久 和昭
• インプレス NextPublishing

Amazon

7月のハニーポットへ最も多いアクセスをしたIPアドレスを分析していきます。

7月のハニーポットへのIPアドレス別アクセスは以下になります。

他の集計結果は下記記事をご参照ください。

IPアドレス　　アクセス数

193.42.33.58 　　497

125.137.152.108　 411

20.199.88.218　　357

213.109.202.66 　251

79.124.49.10 　　240

20.5.41.140 　　219

3.227.252.118 　144

109.237.96.251 　109

52.159.85.240 　75

35.185.71.162 　71

honey-pot-report.hatenablog.com

7月最も多いIPアドレスのアクセスは、193.42.33.58です。

このIPアドレスを下記サイトでまず調べます。

www.cman.jp

IPアドレス結果

% This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '193.42.33.0 - 193.42.33.255' % Abuse contact for '193.42.33.0 - 193.42.33.255' is 'abuse@serverion.com' inetnum: 193.42.33.0 - 193.42.33.255 netname: SERVERION_BV-NET org: ORG-DCB8-RIPE abuse-c: SB27731-RIPE country: NL　　　→　（オランダ） admin-c: SB27731-RIPE tech-c: SB27731-RIPE status: ASSIGNED PA mnt-by: MNT-NETERRA mnt-routes: mnt-nl-descapital-1 mnt-domains: mnt-nl-descapital-1 mnt-lower: mnt-nl-descapital-1 created: 2022-11-11T16:10:47Z last-modified: 2022-11-11T16:10:47Z source: RIPE organisation: ORG-DCB8-RIPE org-name: Des Capital B.V. country: NL　　　→　（オランダ） org-type: LIR address: Krammer 8 address: 3232HE address: Brielle address: NETHERLANDS phone: +31851308338 phone: +13023803902 admin-c: AA35882-RIPE tech-c: TA7409-RIPE abuse-c: AR60082-RIPE mnt-ref: mnt-nl-descapital-1 mnt-ref: RELCOMGROUP-EXT-MNT mnt-ref: FREENET-MNT mnt-ref: MNT-NETERRA mnt-ref: MNT-MAYAK mnt-ref: bg-mcreative-1-mnt mnt-ref: mnt-bg-mconsulting15-1 mnt-ref: bg-mconsulting-1-mnt mnt-ref: MNT-MCONSULTING mnt-ref: mnt-bg-ccomp-1 mnt-by: RIPE-NCC-HM-MNT mnt-by: mnt-nl-descapital-1 created: 2020-03-17T15:00:52Z last-modified: 2022-09-26T13:22:34Z source: RIPE # Filtered mnt-ref: AZERONLINE-MNT mnt-ref: interlir-mnt role: Serverion B.V. address: Krammer 8 address: 3232 HE Brielle address: Netherlands phone: +31851308333 org: ORG-DCB8-RIPE abuse-mailbox: abuse@serverion.com nic-hdl: SB27731-RIPE mnt-by: mnt-com-serverion created: 2020-03-17T15:49:34Z last-modified: 2020-03-17T15:52:30Z source: RIPE # Filtered % Information related to '193.42.33.0/24 (マスク範囲)AS211252' route: 193.42.33.0/24 (マスク範囲) origin: AS211252 mnt-by: mnt-nl-descapital-1 created: 2023-04-02T12:19:35Z last-modified: 2023-04-02T12:19:35Z source: RIPE % This query was served by the RIPE Database Query Service version 1.107 (BUSA)

アクセスはオランダからのようです。

住所は Krammer 8 address: 3232HE

これをgoogleで調べると地図上でここらへんです。

建造物って・・・w

オフィスやなんかの施設でもない怪しい感じがプンプンしますねw

アクセス・攻撃内容

この193.42.33.58はどのようなアクセスをしてきたかを見ていきましょう。

ステータスコードは200を返しています。

ステータスコード200はOKですので、普通にアクセスしていますね。

土足でどたどた入っているイメージです。

カウント　IPアドレス　　アクセス先

  14 　　　193.42.33.58 　/.env

  14 　　　193.42.33.58 　/.env.development

  14 　　　193.42.33.58 　/.env.dist

  14 　　　193.42.33.58 　/.env.old

  14 　　　193.42.33.58 　/.env.prod

  14 　　　193.42.33.58 　/.env.production

  14 　　　193.42.33.58　 /.env.project

  14 　　　193.42.33.58 　/.env.save

   7 　　　193.42.33.58 　/.git/config

   7 　　　193.42.33.58 　/.json

   7 　　　193.42.33.58　 /?phpinfo=1

   7 　　　193.42.33.58 　/_profiler/phpinfo

  14　　　193.42.33.58 　/admin-app/.env

  14 　　　193.42.33.58　 /api/.env

  14 　　　193.42.33.58 　/app/.env

  14 　　　193.42.33.58 　/application/.env

  14 　　　193.42.33.58 　/apps/.env

  14 　　　193.42.33.58 　/back/.env

  14 　　　193.42.33.58　 /cms/.env

   7 　　　193.42.33.58 　/config.json

  14 　　　193.42.33.58 　/core/.env

  14 　　　193.42.33.58 　/cp/.env

   7 　　　193.42.33.58 　/debug/default/view?panel=config

  14 　　　193.42.33.58 　/development/.env

  14 　　　193.42.33.58　 /docker/.env

  14 　　　193.42.33.58 　/enviroments/.env

  14 　　　193.42.33.58 　/enviroments/.env.production

  14 　　　193.42.33.58 　/fedex/.env

   7 　　　 193.42.33.58 　/frontend_dev.php/$

   7 　　　 193.42.33.58 　/info.php

  14 　　　193.42.33.58 　/laravel/.env

  14 　　　193.42.33.58 　/live_env

  14 　　　193.42.33.58 　/local/.env

   7 　　　 193.42.33.58　 /phpinfo.php

  14 　　　193.42.33.58 　/private/.env

  14 　　　193.42.33.58 　/rest/.env

  14 　　　193.42.33.58 　/script/.env

  14 　　　193.42.33.58 　/shared/.env

  14 　　　193.42.33.58 　/sources/.env

  14 　　　193.42.33.58　 /system/.env

さまざまなディレクトリ下の.envへのアクセスが多いですね。

コマンドを起動しようとしている感じがしますね。

また、回数が７か１４です。

これはプログラムで一定回数走査的に仕掛けているように見えます。

今回は7月の最もアクセスが多いIPアドレスを調べました。

このブログではセキュリティに関する記事、運用しているハニーポットの記事を書いていきます。

参考文献

WOWHoneypotの遊びかた　“おもてなし”機能でサイバー攻撃を観察する！ 技術の泉シリーズ (技術の泉シリーズ（NextPublishing）)

• 作者:森久 和昭
• インプレス NextPublishing

Amazon

マスタリングLinuxシェルスクリプト 第2版 ―Linuxコマンド、bashスクリプト、シェルプログラミング実践入門

• 作者:Mokhtar Ebrahim,Andrew Mallett
• オライリージャパン

Amazon