ハニーポットでよく見るユーザーエージェントについて調べた
よく見かけるユーザーエージェントについて調べてみた
今回は少し趣向を変えて…… ハニーポットのログでよく見かけるユーザーエージェントについて調べてみました。
ZmEu
| 項目名 | 内容 |
|---|---|
| UserAgent | ZmEu |
| パス | /phpmyadmin/scripts/setup.php, /pma/scripts/setup.php など |
最初に残していく /w00tw00t.at.blackhats.romanian.anti-sec:) のログが特徴的な脆弱性スキャナです。Webサイト等を運営している方であれば、ログにこの文字列があるのを見たことがある方も多いのではないでしょうか? アクセス先はphpmyadminのセットアップスクリプトのほか、SSHパスワードのブルートフォースアタックも行っているとの情報もあります。英語版 Wikipedia にはページがあるくらいなので、おそらく有名なスキャナなのでしょうね。
https://en.wikipedia.org/wiki/ZmEu_(vulnerability_scanner)
ルーマニア生まれのツールで、ユーザーエージェントにもある「ZmEu」という名前は、ルーマニアの民話に出てくるドラゴンに似た生き物を表しているそうです。
Jorgee
| 項目名 | 内容 |
|---|---|
| UserAgent | Mozilla/5.0 Jorgee |
| パス | /phpmyadmin2017, /phpmyadmin2018, /phpmanager など |
こちらもphpmyadminの脆弱性を探っているようです。
NYU
| 項目名 | 内容 |
|---|---|
| UserAgent | NYU |
| パス | /RPC2, /cgi-bin/php?-d+allow_url_include=on..., /invoker/JMXInvokerServlet |
けっこう多様なパスにたいしてアクセスしてきている感じですね。/cgi-bin/php?-d+allow_url_include=on...は、2月の観察日記 で紹介したApache Magicaでしょうか。
muhstik-scan
| 項目名 | 内容 |
|---|---|
| UserAgent | Mozilla/5.0 muhstik-scan, muhstik/1.0 |
| URL | https://github.com/phukd/muhstik |
| 言語 | C |
| パス | /mysql/admin, /mysql/dbadmin, /phpmyadmin, /program, /webdav, /admin/sysadmin/ |
データベース系を中心に、あり得そうなパスに向けて一斉にアクセスをして、探りをかけてきています。
Indy-Library
| 項目名 | 内容 |
|---|---|
| UserAgent | Mozilla/3.0 (compatible; Indy Library) |
| パス | /, /manager/html |
2月の観察日記 で挙げた「Tomcatのアプリケーションマネージャを狙ったブルートフォース攻撃」を行ってきたのがこのUAです。以降わりと頻繁にアクセスしてきているようです。
zgrab
| 項目名 | 内容 |
|---|---|
| UserAgent | Mozilla/5.0 zgrab/0.x |
| URL | https://github.com/zmap/zgrab |
| 言語 | Go |
| パス | / |
zmapというスキャナとともに動作する、アプリケーションレイヤのスキャナーのようです。
masscan
| 項目名 | 内容 |
|---|---|
| UserAgent | masscan/1.0 (https://github.com/robertdavidgraham/masscan) |
| URL | https://github.com/robertdavidgraham/masscan |
| 言語 | C |
| パス | / |
速さに定評があるTCPポートスキャナ
It can scan the entire Internet in under 6 minutes, transmitting 10 million packets per second.
6分で全体スキャン、すごい速さです。
sysscan
| 項目名 | 内容 |
|---|---|
| UserAgent | sysscan/1.0 (https://github.com/robertdavidgraham/sysscan) |
| URL | https://github.com/robertdavidgraham/sysscan |
| 言語 | C? |
| 主に観測されたログ | / |
githubのリンクはリンク切れとなっていました。sysscanの後継がmasscanということなのかもしれないです。
まとめ
アプリケーションの脆弱性を狙ったもの、ポートスキャンを目的としたものなど、様々なユーザーエージェントからのアクセスを受けていることが改めてわかりました。また、一部のユーザーエージェントごとに一定の特徴が見られそうですね。(データベース系の脆弱性を中心にアクセスしているなど) ユーザーエージェント毎の集計等も、今後は取っていきたいと思いました!
