ハニーポットのログ分析(2019/03/25)
WOWhoneypotの2019/03/25(月) (運用292日目)の簡易分析です。
本日の総アクセス件数は734件です。送信元IP数は214IPです。
本日の主なアクセスは以下です。
・WordPressの調査 389 件
→第二オクテット配下が異なる複数のIP群から来ています。
URLが存在するかを確認し、その後つぎのブルートフォースに以降するものと考えられます。
また、どちらも同じUAでした。
「User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0」
・WordPressのログイン試行攻撃:308 件
→180程度のIPからアクセスがありました。上記と同じ第二オクテット配下が異なる複数のIPからパスワードを変えながらログイン試行をしているようでした。分散型のブルートフォースですね。
POSTのbodyは例えばこういった形でした。
「log=&pwd=&wp-submit=Log In&redirect_to=hxxp://(ipaddr)/wp-admin/&testcookie=1」
・GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:1 件
本日のドメイン名でのアクセスは以下です。
2 GET /
1 GET /robots.txt
本日のハンティングログはありません。
以下が全アクセスログです。
| 件数 | 日付 | 種別 | リクエスト |
| 122 | 2019/3/25 | WordPressの調査 | GET /wp/wp-login.php |
| 122 | 2019/3/25 | WordPressの調査 | GET /wp-login.php |
| 120 | 2019/3/25 | WordPressのログイン試行攻撃 | POST /wp/wp-login.php |
| 120 | 2019/3/25 | WordPressのログイン試行攻撃 | POST /wp-login.php |
| 94 | 2019/3/25 | WordPressのログイン試行攻撃 | POST /xmlrpc.php |
| 94 | 2019/3/25 | WordPressのログイン試行攻撃 | POST /wp/xmlrpc.php |
| 33 | 2019/3/25 | アクセス | GET / |
| 2 | 2019/3/25 | WordPressの調査 | GET /wp//wp-json/wp/v2/users/ |
| 2 | 2019/3/25 | WordPressの調査 | GET /wp//?author=1 |
| 2 | 2019/3/25 | WordPressの調査 | GET /wp1/wp-login.php |
| 2 | 2019/3/25 | WordPressの調査 | GET /wp1//wp-json/wp/v2/users/ |
| 2 | 2019/3/25 | WordPressの調査 | GET /wp1//?author=1 |
| 2 | 2019/3/25 | WordPressの調査 | GET /wordpress/wp-login.php |
| 2 | 2019/3/25 | WordPressの調査 | GET /wordpress//wp-json/wp/v2/users/ |
| 2 | 2019/3/25 | WordPressの調査 | GET /wordpress//?author=1 |
| 2 | 2019/3/25 | WordPressの調査 | GET /user/login |
| 2 | 2019/3/25 | WordPressの調査 | GET /bitrix/admin/ |
| 2 | 2019/3/25 | WordPressの調査 | GET ///?author=1 |
| 2 | 2019/3/25 | WordPressの調査 | GET /administrator/index.php |
| 1 | 2019/3/25 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
| 1 | 2019/3/25 | クローリング | HEAD /robots.txt |
| 1 | 2019/3/25 | WordPressの調査 | GET ///wp-json/wp/v2/users/ |
| 1 | 2019/3/25 | 仮想通貨の調査 | GET /wallet/54e24501-f3bd-4917-8073-f628a7bfd287?format=json&resend_code=null&ct=1553455392555&api_code=1770d5d9-bcea-4d28-ad21-6cbd5be018a |
| 1 | 2019/3/25 | クローリング | GET /robots.txt |
以上です。
ハニーポットのログ分析(2019/03/24)
WOWhoneypotの2019/03/24(日) (運用291日目)の簡易分析です。
本日の総アクセス件数は43件です。送信元IP数は33IPです。
本日の主なアクセスは以下です。
・GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:2件
→ User-Agent: Hello, World
アクセスのうち1つはAVTECHから来ていました。
本日のドメイン名でのアクセスは以下です。
4 GET /
2 GET /robots.txt
本日のハンティングログはありません。
以下が全アクセスログです。
| 件数 | 日付 | 種別 | リクエスト |
| 28 | 2019/3/24 | アクセス | GET / |
| 2 | 2019/3/24 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
| 2 | 2019/3/24 | クローリング | GET /robots.txt |
| 1 | 2019/3/24 | 不正中継の調査 | HEAD hxxp://112.124.42.80:63435/ |
| 1 | 2019/3/24 | XDebugの調査 | GET /?XDEBUG_SESSION_START=phpstorm |
| 1 | 2019/3/24 | phpのWebShell設置の調査 | GET /test.php |
| 1 | 2019/3/24 | php設定内容の確認 | GET /phpinfo.php |
| 1 | 2019/3/24 | phpMyAdminの調査 | GET /index.php |
| 1 | 2019/3/24 | 不正中継の調査 | GET hxxp://112.35.66.7:8088/index.php |
| 1 | 2019/3/24 | 不正中継の調査 | GET hxxp://112.35.53.83:8088/index.php |
| 1 | 2019/3/24 | Adobe ColdFusionの調査 | GET /CFIDE/administrator/ |
| 1 | 2019/3/24 | phpのWebShell設置の調査 | GET /3.php |
| 1 | 2019/3/24 | phpのWebShell設置の調査 | GET /2.php |
| 1 | 2019/3/24 | phpのWebShell設置の調査 | GET /1.php |
以上です。
ハニーポットのログ分析(2019/03/23)
WOWhoneypotの2019/03/23(土) (運用290日目)の簡易分析です。
本日の総アクセス件数は52件です。送信元IP数は28IPです。
本日の主なアクセスは以下です。
・ GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:9 件
→User-Agent: Hello, World 、うち1つのIPはAVTECHでした。
・ phpMyAdminの調査:5 件
→User-Agent: ZmEu によるスキャン
・NMAPによるスキャン:3件
→User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
・ThinkPHPの脆弱性を突いた攻撃:2件
→うち、1件は新たに以下で来ていました。
「POST /index.php?s=captcha」
「_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n HelloThinkPHP|md5sum」
本日のドメイン名でのアクセスは以下です。
3 GET /
1 POST /wp-admin/admin-ajax.php
1 POST /sdk
1 GET /robots.txt
1 GET /NmapUpperCheck1553299727
1 GET /nmaplowercheck1553299727
本日のハンティングログはありません。
以下が全アクセスログです。
| 件数 | 日付 | 種別 | リクエスト |
| 24 | 2019/3/23 | アクセス | GET / |
| 9 | 2019/3/23 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
| 2 | 2019/3/23 | クローリング | GET /robots.txt |
| 1 | 2019/3/23 | WordPressの調査 | POST /wp-admin/admin-ajax.php |
| 1 | 2019/3/23 | vmwareのバージョン調査 | POST /sdk |
| 1 | 2019/3/23 | ThinkPHPの脆弱性を突いた攻撃 | POST /index.php?s=captcha |
| 1 | 2019/3/23 | XDebugの調査 | GET /?XDEBUG_SESSION_START=phpstorm |
| 1 | 2019/3/23 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt |
| 1 | 2019/3/23 | 脆弱性スキャンツールZmEuによる調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
| 1 | 2019/3/23 | サイト構成調査 | GET /sitemap.xml |
| 1 | 2019/3/23 | phpMyAdminの調査 | GET /pma/scripts/setup.php |
| 1 | 2019/3/23 | phpMyAdminの調査 | GET /phpMyAdmin/scripts/setup.php |
| 1 | 2019/3/23 | phpMyAdminの調査 | GET /phpmyadmin/scripts/setup.php |
| 1 | 2019/3/23 | NMAPによるスキャン | GET /NmapUpperCheck1553299727 |
| 1 | 2019/3/23 | NMAPによるスキャン | GET /nmaplowercheck1553299727 |
| 1 | 2019/3/23 | phpMyAdminの調査 | GET /MyAdmin/scripts/setup.php |
| 1 | 2019/3/23 | phpMyAdminの調査 | GET /myadmin/scripts/setup.php |
| 1 | 2019/3/23 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 1 | 2019/3/23 | ThinkPHPの脆弱性を突いた攻撃 | GET /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars0]=md5&vars1]]=HelloThinkPHP |
| 1 | 2019/3/23 | アクセス | GET /favicon.ico |
以上です。
