ハニーレポート

ハニーポット観測レポートを中心に書いていきます。

アクセスは集中する

12月の最も多いアクセス日は12月25日でした。

この日だけでなんと1434のアクセスがきています。

一体誰なんでしょうか？

12月アクセス数

ログからIPアドレスを調べてみるとこちらでした。

アクセス数　IPアドレス

685 61.244.206.142

684 210.204.31.167

20 85.209.176.64

   4 78.153.140.30

   4 31.7.58.42

   3 65.49.20.66

   3 193.35.18.187

   2 83.97.73.87

   2 78.153.140.37

   2 185.236.231.176

   2 185.16.38.88

   1 82.52.40.145

   1 66.240.236.116

   1 35.203.210.223

   1 35.202.9.133

   1 34.77.127.183

   1 34.140.248.32

   1 205.210.31.8

   1 198.235.24.95

   1 198.199.112.4

   1 193.35.18.89

   1 192.241.237.44

   1 190.11.14.78

   1 185.180.143.141

   1 176.195.38.243

   1 175.107.1.60

   1 167.99.36.80

   1 162.243.150.6

   1 159.223.138.47

   1 152.32.235.85

   1 146.190.47.101

   1 114.244.127.174

   1 107.170.237.73

   1 102.129.232.53

61.244.206.142と210.204.31.167・・・

今月の最多アクセストップ１、２じゃないかぁぁぁぁ！

この日にPHPの管理者ページに入ろうとしたりやPHPの脆弱性をついた攻撃をした輩が集中したことになりますね。

honey-pot-report.hatenablog.com

honey-pot-report.hatenablog.com

honey-pot-report.hatenablog.com

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

作者:Paul Troncone,Carl Albing
オライリージャパン

12月ログ分析　気になるあいつ（IPアドレス）を調べていく！ page1

12月のIPアドレス別アクセス数はハニーポットレポート12月にもレポートしています。

honey-pot-report.hatenablog.com

12月のアクセスはこちら。

アクセス数 | IPアドレス

---------------------------------

685 | 61.244.206.142

684 | 210.204.31.167

221 | 138.68.224.69

221 | 128.199.137.235

178 | 195.140.227.163

147 | 162.222.204.54

128 | 113.197.109.29

104 | 78.153.140.30

102 | 78.153.140.37

52 | 83.97.73.87

本日は12月最も多いアクセスをしてきた61.244.206.142のIPアドレスを調べます。

どのようなアクセスをしてきているか見ていきます。

ログのURLを見ていくとこちらになります。

5 http://***.***.***.***/phpMyAdmin/

   4 http://***.***.***.***/phpMyAdmin-5.2.1-all-languages/

   4 http://***.***.***.***/phpMyAdmin-4.9.11-all-languages/

   3 http://***.***.***.***/pma/

   3 http://***.***.***.***/phpmyadmin/

   3 http://***.***.***.***/phpmyAdmin/

   3 http://***.***.***.***/phpmanager/

   3 http://***.***.***.***/phpMyAdmin-5.2.1-english/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-source/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-english/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-all-languages/

   3 http://***.***.***.***/phpMyAdmin-4.9.11-english/

   2 http://***.***.***.***/sqlmanager/

   2 http://***.***.***.***/sql/websql/

   2 http://***.***.***.***/sql/webdb/

   2 http://***.***.***.***/sql/webadmin/

   2 http://***.***.***.***/sql/sqlweb/

   2 http://***.***.***.***/sql/sqladmin/

   2 http://***.***.***.***/sql/sql/

   2 http://***.***.***.***/sql/sql-admin/

※上記はろぐの一部です。

一部ですがログのアクセスを見ていると、PHPサーバの管理者ページへのアクセスまたはSQLの管理者ページにアクセスしていますね。

ありとあらゆるバージョンやURLを試していることがわかります。

ちなみにこのIPアドレスは香港からのアクセスになります。

IPアドレス調査を調べると住所が出てきます。

address: 15/F Trans Asia Centre

address: 18 Kin Hong Street, Kwai Chung

address: N.T.

このアドレスを見てみるとここです。

街のマンションのような高層の建物が並ぶ場所ですね。

雰囲気だけ見ると建物しかないんだけど・・・

と、怪しさが少し滲み出ていますw

今回のログ分析はここまでにしておきましょう。

ログ分析では、自身で運営しているハニーボットのアクセスログを分析してレポートしていきます。

マスタリングLinuxシェルスクリプト第2版 ―Linuxコマンド、bashスクリプト、シェルプログラミング実践入門

マスタリングLinuxシェルスクリプト第2版 ―Linuxコマンド、bashスクリプト、シェルプログラミング実践入門

作者:Mokhtar Ebrahim,Andrew Mallett
オライリージャパン

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

作者:Paul Troncone,Carl Albing
オライリージャパン

12月ログ分析日記　XDEBUG_SESSION_START攻撃を発見する

12月のログ分析で気になるログをレポートしていきます。

本日のログはこちらです。

'GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1\nHost: ***.***.***.***:***\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36\nAccept-Encoding: gzip\nConnection: close\n\n'

上のログのこの部分が気になりますね。

XDEBUG_SESSION_START=phpstorm

phpstormと書かれているのでphpのライブラリを使った攻撃であることがわかるとも思います。

PHPXDebugセッションを開始するためのクエリです。

よくワードプレスへの脆弱性を狙った攻撃で使われます。

デバッグモードを実行する処理となり、変数監視やブレークポイントでの処理の停止といったデバッグ操作ができます。

本番機でデバッグモードを有効にしておくことは、セキュリティ上で危険ですのでデバッグモードを無効にする必要がございます。

デバッグモードが有効になっているサーバに仕掛けているようですね。

マスタリングLinuxシェルスクリプト第2版 ―Linuxコマンド、bashスクリプト、シェルプログラミング実践入門

マスタリングLinuxシェルスクリプト第2版 ―Linuxコマンド、bashスクリプト、シェルプログラミング実践入門

作者:Mokhtar Ebrahim,Andrew Mallett
オライリージャパン

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

作者:Paul Troncone,Carl Albing
オライリージャパン

月間ハニーレポート2023年12月号

セキュリティログ分析ハニーポットレポート

ハニーレポート12月のアクセス記録を公開します。

デイリーアクセス

	ymd
2023-12-01	53
2023-12-02	170
2023-12-03	56
2023-12-04	93
2023-12-05	1434
2023-12-06	59
2023-12-07	71
2023-12-08	47
2023-12-09	56
2023-12-10	66
2023-12-11	102
2023-12-12	91
2023-12-13	82
2023-12-14	46
2023-12-15	75
2023-12-16	90
2023-12-17	92
2023-12-18	71
2023-12-19	61
2023-12-20	130
2023-12-21	195
2023-12-22	209
2023-12-23	127
2023-12-24	54
2023-12-25	166
2023-12-26	141
2023-12-27	89
2023-12-28	43
2023-12-29	57
2023-12-30	63
2023-12-31	46

IPアドレス別

	from_ip_address
61.244.206.142	685
210.204.31.167	684
128.199.137.235	221
138.68.224.69	221
195.140.227.163	178
162.222.204.54	147
113.197.109.29	128
78.153.140.30	104
78.153.140.37	102
83.97.73.87	52

URL別

	url
GET / HTTP/1.1	699
GET /manager/html HTTP/1.1	574
POST /autodiscover HTTP/1.1	206
GET /.env HTTP/1.1	84
GET /favicon.ico HTTP/1.1	80
GET / HTTP/1.0	79
POST / HTTP/1.1	56
POST /boaform/admin/formLogin HTTP/1.1	33
GET /tomcat.jsp HTTP/1.1	27
GET /actuator/gateway/routes HTTP/1.1	26

ステータスコード別

	status_code
200	3561
401	574

HTTPメソッド別

	res
GET	2398
HEAD	1388
POST	317
CONNECT	28
OPTIONS	4

国別アクセス

	country
United States	920
Hong Kong	700
South Korea	692
Russia	287
Singapore	271
Ukraine	180
Netherlands	151
Indonesia	140
India	79
United Kingdom	75

参考文献

WOWHoneypotの遊びかた　“おもてなし”機能でサイバー攻撃を観察する！ (技術の泉シリーズ（NextPublishing）)

WOWHoneypotの遊びかた　“おもてなし”機能でサイバー攻撃を観察する！ (技術の泉シリーズ（NextPublishing）)

作者:森久和昭
インプレスR&D

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

作者:Paul Troncone,Carl Albing
オライリー・ジャパン

マスタリングLinuxシェルスクリプト第2版 ―Linuxコマンド、bashスクリプト、シェルプログラミング実践入門

マスタリングLinuxシェルスクリプト第2版 ―Linuxコマンド、bashスクリプト、シェルプログラミング実践入門

作者:Mokhtar Ebrahim,Andrew Mallett
オライリージャパン

月間ハニーレポート2023年11月号

セキュリティログ分析ハニーポットレポート

ハニーレポート11月のアクセス記録を公開します。

デイリーアクセス

	ymd
2023-10-31	5
2023-11-01	67
2023-11-02	96
2023-11-03	87
2023-11-04	97
2023-11-05	124
2023-11-06	67
2023-11-07	44
2023-11-08	66
2023-11-09	336
2023-11-10	239
2023-11-11	73
2023-11-12	57
2023-11-13	65
2023-11-14	197
2023-11-15	45
2023-11-16	130
2023-11-17	135
2023-11-18	195
2023-11-19	57
2023-11-20	43
2023-11-21	50
2023-11-22	192
2023-11-23	55
2023-11-24	79
2023-11-25	167
2023-11-26	348
2023-11-27	39
2023-11-28	69
2023-11-29	320
2023-11-30	49
2023-12-01	35

URL別

ステータスコード別

	status_code
200	3397
401	231

HTTPメソッド別

	res
GET	3247
POST	314
CONNECT	51
HEAD	14
OPTIONS	2

IPアドレス別

	from_ip_address
79.124.49.10	244
143.198.76.13	221
179.43.163.130	190
45.141.87.251	159
141.98.11.107	136
85.127.21.10	128
120.25.232.36	128
93.144.211.90	128
61.81.40.197	128
78.153.140.30	87

国別アクセス

	country
United States	1011
Russia	383
Bulgaria	355
China	230
Switzerland	210
Lithuania	207
Netherlands	187
South Korea	134
Italy	129
Austria	128
Portugal	95
Singapore	86
India	65
United Kingdom	57
France	49
Belgium	44
Germany	42
Australia	30
Canada	23
Brazil	20
Hong Kong	14
Japan	13
Iran	11
Vietnam	11
Indonesia	8
Mongolia	8
Egypt	8
Belize	7
Romania	6
Poland	5
Mexico	5
Azerbaijan	3
Turkey	3
Norway	3
Argentina	3
Malaysia	3
Spain	3
Nigeria	2
Sweden	2
Thailand	2
Bangladesh	2
Ecuador	2
Denmark	1
Uruguay	1
Czechia	1
Serbia	1
Dominican Republic	1
Ireland	1
Moldova	1
Cambodia	1
Croatia	1
Taiwan	1
Seychelles	1
Albania	1
Iceland	1
Estonia	1
Colombia	1
Venezuela	1
Puerto Rico	1
South Africa	1
Philippines	1

参考文献

WOWHoneypotの遊びかた　“おもてなし”機能でサイバー攻撃を観察する！ (技術の泉シリーズ（NextPublishing）)

WOWHoneypotの遊びかた　“おもてなし”機能でサイバー攻撃を観察する！ (技術の泉シリーズ（NextPublishing）)

作者:森久和昭
インプレスR&D

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

作者:Paul Troncone,Carl Albing
オライリー・ジャパン