EN
Aktiv sensor · uppdateras dagligen
Passiv OT/ICS-honeypot · aggregerad mätdata

Vad söker internet
efter just nu?

Anonymiserad statistik från ett passivt system som emulerar industriella styrsystem, nätverkskameror, VPN-portaler och DevOps-tjänster.

Uppstart: 2025-08-01   ·   Senast aggregerat: 2026-07-01   ·   Källa: passiv HTTP-sensor
55 368
förfrågningar sedan start
Unika IP-adresser 6 316
Aktiva endpoints 3 919
Inloggningsförsök 557
0
Denna timme
139
Idag
0
Inloggn. idag
0
Portscanning creds
Uppdateras om 30s
Polling · var 30:e sekund
01

Nyckeltal

Totalt antal förfrågningar
55 368
+2 197 senaste 7 dagarna
Unika IP-adresser
6 316
+449 senaste 7 dagarna
Emulerade tjänster
3 919
 aktiva endpoints
Inloggningsförsök
557
+0 senaste 7 dagarna
High-signal events
112
Sofistikerade riktade attacker
Sanerade events
1 281
XSS, SQLi och path traversal-försök
AI-agentprober
6
MCP-endpoints sondrade senaste 7 dagarna

Exkl. egna IP-adresser och kända skanningssystem.

02

Aktivitet & geografisk fördelning

Daglig aktivitet · sista 28 dagarna
Lägre
Högre
Timvis aktivitet · sista 7 dagarna
0
6
12
18
Lägre aktivitet
Högre aktivitet  · Timme (UTC) · senaste 7 dagarna
Geografisk fördelning · top 8
US USA
13 422
NL Nederländerna
7 661
SE Sverige
7 510
DE Tyskland
4 378
GB Storbritannien
2 585
FR Frankrike
2 149
CN Kina
1 197
IN Indien
1 001
03

Kategorier & endpoints

Riktade systemförsök — fördelning per systemkategori
Kommunal dokumentportal
888 1.6%
SCADA & styrsystem
191 0.3%
Fibernät & transmission
156 0.3%
OT tidsserie-API
113 0.2%
VPN-portal
108 0.2%
Fastighetssystem (BMS)
93 0.2%
Övervakningskameror
71 0.1%
Passersystem
37 0.1%
Nätverksövervakning
23 0%
VA & fjärrvärme-SCADA
18 0%
Civilberedskapsplaner
12 0%
Kommunal dokumentportal
4 0%
intrusion_alarm
2 0%
Reservkraft & generatorer
1 0%
Kopplade CVE:er — kända sårbarheter i exponerade systemtyper
10.0 CVE-2019-7256 RCE (CVSS 10) — Linear eMerge E3 passersystem
10.0 CVE-2023-20198 Auth bypass (CVSS 10) — Cisco IOS XE
9.9 CVE-2023-44373 RCE — Siemens RUGGEDCOM APE1808
9.8 CVE-2024-9003 Auth bypass — Schneider Electric Easergy P5 BMS
9.8 CVE-2021-36260 Command injection — Hikvision IP-kameror
9.8 CVE-2023-27350 Auth bypass & RCE — PaperCut (VA-verk)
Protokollscanning — fördelning per systemkategori
Protokollscanning
13 579 24.5%
Kopplade CVE:er — kända sårbarheter i exponerade systemtyper
7.5 CVE-2023-27321 DoS — OPC UA Foundation SDK via crafted message
7.4 CVE-2022-44725 Memory corruption — OPC UA SDK (Unified Automation)
Generisk massscanning — fördelning per systemkategori
Generisk webbscanning
37 129 67.1%
Credential-stöld
1 558 2.8%
DevOps & API-sondning
847 1.5%
none
266 0.5%
unknown
207 0.4%
ai_agent
40 0.1%
Kataloggenomgång
23 0%
ups
1 0%
civil_readiness
1 0%
Kopplade CVE:er — kända sårbarheter i exponerade systemtyper
10.0 CVE-2024-3400 RCE (CVSS 10) — Palo Alto PAN-OS GlobalProtect
8.1 CVE-2024-6387 RCE — OpenSSH regreSSHion
Mest efterfrågade endpoints
root_probe
8 326
ssdp
6 385
ssh_banner
5 278
favicon_ico
1 945
sdk_weblanguage
1 478
raw_file_env
707
raw_file_git_config
500
robots_txt
483
cgi_bin_luci_stok_locale
435
sitemap_xml
428
04

Senaste aktivitet

LIVE
Tid UTC Land Endpoint Kategori Metod
2 h sedan HU root_probe generic_scan GET
2 h sedan BE root_probe generic_scan GET
3 h sedan US root_probe generic_scan GET
3 h sedan TH root_probe generic_scan GET
3 h sedan IE root_probe generic_scan HEAD
4 h sedan NL sdk_weblanguage generic_scan GET
4 h sedan BR sdk_weblanguage generic_scan GET
5 h sedan BE root_probe generic_scan GET
05

Metod · User-agent · Svarskod

HTTP-metod
GET
37 539
CONNECT
13 579
POST
2 953
HEAD
535
OPTIONS
106
PUT
4
PROPFIND
4
TRACE
2
MNBX
1
POQB
1
LINY
1
VVZU
1
VQYU
1
GKNX
1
APVL
1
PWGB
1
ZHNZ
1
RNLI
1
WTFI
1
IRSZ
1
DSLW
1
UGNB
1
VUEA
1
SUQF
1
KEAN
1
Topp User-Agents
browser
25 923
security_scanner
3 036
curl
2 969
l9explore/1.2.2
1 963
no_agent
1 907
go_http
1 859
HTTP-svarskod
200 OK
41 633
0
13 579
404 Not Found
156
06

Credential-försök · inloggningsförsök per system och användarnamn

Mest provade användarnamn
root
117
admin
81
ZAP (scanner)
53
Poot
36
user
17
Pdmin
11
operator (OT)
11
test
7
default
6
guest
5
administrator
5
vstarcam2015
4
Inloggningsförsök per honeypot-tjänst
Passersystem
114
Fibernät & nätverks…
52
Process-SCADA (Siemen…
50
VPN-gateway (Ivanti)
14
Oklassificerat
12
Driftportal
11
IP-kameror (Hikvision…
6
Fastighetsautomation …
5
Säkerhetsaccess
4
Civilberedskapsportal
1
07

Angriparmönster · återkommande aktörer och multi-endpoint-försök

6 482
Unika externa IP:er
20
Återkommande aktörer · >1 besök
20
Riktade aktörer · 2+ distinkta endpoints
# Förfrågningar Endpoint-grupper Tjänstetyper OT-fokus
1 436 5 4 OT-riktad
2 76 5 4 OT-riktad
3 294 4 4 OT-riktad
4 176 4 3 OT-riktad
5 170 4 4 OT-riktad
6 165 4 4 OT-riktad
7 45 4 4 OT-riktad
8 40 4 4 OT-riktad
9 1 727 3 3 OT-riktad
10 1 425 3 3 OT-riktad
11 1 413 3 3 OT-riktad
12 1 222 3 3 OT-riktad
08

Exponeringstid · hur lång tid det tog innan varje tjänst hittades

Tid till första scan · per exponerad tjänst sedan 2026-03-08
VPN-gateway (Ivanti) +18h 5min
Passersystem +18h 47min
DevOps / CI-API +1 dagar
Credential-stöld +1 dagar
Fibernät & nätverkshårdvara +4 dagar
Säkerhetsaccess +5 dagar
ai_agent +69 dagar

Tid efter att portarna öppnades tills första extern förfrågan registrerades per tjänstetyp

Vill du veta mer?
Detaljerad analys �� angriparprofiler, ISP-data, credential-trender — finns på begäran för säkerhetsforskare och branschkollegor.
Kontakta oss ›
09

Geografisk tidslinje · daglig aktivitet per ursprungsland · senaste 7 dagarna

Datum NL
Nederländerna
US
USA
DE
Tyskland
BR
Brasilien
RO
Rumänien
HK
Hongkong
Totalt
2026-07-03 81 22 · 7 · 1 139
2026-07-02 143 93 4 9 19 12 330
2026-07-01 55 45 36 12 18 21 272
2026-06-30 178 97 4 8 18 15 385
2026-06-29 103 56 65 28 20 20 361
2026-06-28 109 50 36 11 · 6 262
2026-06-27 219 81 4 21 · · 352
2026-06-26 14 16 15 3 18 · 96

Enbart extern trafik. Mörk cell = hög aktivitet från landet. Egna IP-adresser exkluderade.

10

Protokollscanning

OT-protokoll rankade per träffräkning
# Protokoll Totalt Andel Idag Fördelning
1 SSDP/UPnP :1900 6 385 47%
2 SSH Banner :2222 5 278 38.9%
3 Telnet :23 285 2.1%
4 Hikvision SDK :8000 252 1.9%
5 OPC-UA :4840 141 1%
6 Siemens S7comm :10102 138 1%
7 Niagara Fox :1911 135 1%
8 DNP3 :20000 112 0.8%
9 Modbus TCP :15502 105 0.8%
10 EtherNet/IP :44818 101 0.7%
11 iec104 91 0.7%
12 SIP :5060 90 0.7%
13 Dahua TCP :37777 86 0.6%
14 SNMP :161 78 0.6%
15 RTSP :554 76 0.6%
16 MQTT :1883 74 0.5%
17 GE SRTP :18245 58 0.4%
18 MELSEC SLMP :5007 52 0.4%
19 bacnet 41 0.3%
20 FTP :21 1 0%

Alla träffar sedan start. "Idag" = antal förfrågningar innevarande dag UTC. Egna IP-adresser exkluderade.

11

Angreppstyper förklarade

Vad händer egentligen
Credential stuffing
0 unika IP:n / 7 d

Automatiserade Telnet-anslutningar som systematiskt provar inloggningsuppgifter från läckta databaser. Målet är att ta över routrar och IoT-enheter för att bygga ut botnät.

CVE-riktad scanning
0 distinkta protokoll

Förfrågningar som matchar kända CVE-signaturer — angriparen söker efter en specifik sårbarhet i industriella styrsystem, kameror eller nätverksutrustning.

Kamouflerad trafik
0 förfrågningar

OT-protokollförfrågningar med webbläsar-useragent (Mozilla/Chrome/Safari). Avsikten är att undgå signatursbaserade detekteringssystem som filtrerar bort tydlig scanneridentitet.

Räkningar avser observationer i honeypot-data. Siffrorna speglar angriparmönster, inte faktiska intrång.

12

Trender

Requests per dag de senaste 30 och 90 dagarna
Senaste 30 dagarna
Senaste 90 dagarna
13

Kvartalstrender

Nyckel-KPI:er per kvartal — eskalering över tid
Kvartal Requests Unika IP High-signal Credential-försök Residential IP
2026-Q1 18 256 2 551 112 470

Kvartal med noll requests exkluderas. Δ = förändring mot föregående kvartal i tabellen.

14

Angreppsdjup · resursmål, beteendesignaturer och ursprung

Vad angriparna söker
50 961
Protokoll (TCP/UDP raw)
1 764
Inloggningssidor
1 612
Dokumentfiler
853
API-endpoints
155
Okänt
23
Katalogstrukturer
Beteendesignaturer
29 464
Kataloggissning
18 369
Mänskligt webbläsarbeteende
12 515
Sårbarhetsskanning
11 094
Konfigurationssökning
10 105
Automatiserad scanning
3 701
Massscanning
2 297
API-sondning
1 907
Ingen User-Agent
1 142
Backupsökning
445
known_scanner
436
OT-riktad
286
Credential-försök
Angriparnas nätoperatörer
3 163
Google LLC
3 159
Digitalocean, LLC
2 408
TECHOFF SRV LIMITED
2 291
Secure Internet LLC uk
2 236
Censys, Inc.
Säkerhetsforskare
1 489
FBW NETWORKS SAS
1 457
Pfcloud UG
1 305
Feo Prest SRL
1 138
Microsoft Corporation
1 019
DEDIK SERVICES LIMITED

Inga IP-adresser visas. ASN-data via passiv geo-enrichning.

15

AI-agentscanning · MCP-protokollsondring och kända aktörer

MCP (Model Context Protocol) — AI-agentprotokoll, sonderat sedan maj 2026
Totalt (all tid)
40
Senaste 7 dagarna
6
Kända protokoll
JSON-RPC 2.0
MCP/2024-11-05
Anthropic v1
Kända skanners (user-agent)
okänd 40

Honeypoten exponerar ett fullständigt MCP-gränssnitt med OT/ICS-teman. Scanning identifieras via endpoint_group=mcp_probe och attack_type=mcp_probe.