S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypotの簡易分析(7日目)

WOWHoneypotの簡易分析(7日目)

honeypot

2018/06/10のログの解析です。

本日の総アクセス数は290件でした。徐々にアクセス数は伸びているような気がします。

awk '{print $1,$5,$6}' access_log | grep "06-10" | sort | uniq -c | sort -nr

48 [2018-06-10 "GET /
6 [2018-06-10 "GET /pmd/index.php
6 [2018-06-10 "GET /pmamy2/index.php
6 [2018-06-10 "GET /PMA2/index.php
6 [2018-06-10 "GET /phpmyadmin/index.php
6 [2018-06-10 "GET /phpMyadmin_bak/index.php
6 [2018-06-10 "GET /phpmyadmin2/index.php
6 [2018-06-10 "GET /phpmyadmin1/index.php
6 [2018-06-10 "GET /phpmyadmin0/index.php
6 [2018-06-10 "GET /mysql-admin/index.php
6 [2018-06-10 "GET /index.php
6 [2018-06-10 "GET /claroline/phpMyAdmin/index.php
6 [2018-06-10 "GET /admin/index.php
5 [2018-06-10 "GET /xampp/phpmyadmin/index.php
5 [2018-06-10 "GET /tools/phpMyAdmin/index.php
5 [2018-06-10 "GET /phpMyAdmin.old/index.php
5 [2018-06-10 "GET /phpmyadmin-old/index.php
5 [2018-06-10 "GET /myadmin2/index.php
5 [2018-06-10 "GET /admin/PMA/index.php
5 [2018-06-10 "GET /admin/phpMyAdmin/index.php
5 [2018-06-10 "GET /admin/phpmyadmin2/index.php
5 [2018-06-10 "GET /admin/mysql/index.php
4 [2018-06-10 "GET /www/phpMyAdmin/index.php
4 [2018-06-10 "GET /web/phpMyAdmin/index.php
4 [2018-06-10 "GET /pma-old/index.php
4 [2018-06-10 "GET /pmamy/index.php
4 [2018-06-10 "GET /phpmyadmin/phpmyadmin/index.php
4 [2018-06-10 "GET /phpMyAdminold/index.php
4 [2018-06-10 "GET /phpMyAdmin/index.php
4 [2018-06-10 "GET /mysqladmin/index.php
4 [2018-06-10 "GET /myadmin/index.php
4 [2018-06-10 "GET /db/index.php
4 [2018-06-10 "GET /dbadmin/index.php
4 [2018-06-10 "GET /admin/pma/index.php
4 [2018-06-10 "GET /admin/phpmyadmin/index.php
4 [2018-06-10 "GET /admin/mysql2/index.php
3 [2018-06-10 "PROPFIND /
3 [2018-06-10 "POST /wls-wsat/CoordinatorPortType
3 [2018-06-10 "GET /PMA/index.php
3 [2018-06-10 "GET /pma/index.php
3 [2018-06-10 "GET /phpMyAdmin/phpMyAdmin/index.php
3 [2018-06-10 "GET /phpma/index.php
3 [2018-06-10 "GET /phpadmin/index.php
3 [2018-06-10 "GET /mysql/index.php
2 [2018-06-10 "GET /typo3/phpmyadmin/index.php
2 [2018-06-10 "GET /sitemap.xml
2 [2018-06-10 "GET /robots.txt
2 [2018-06-10 "GET /favicon.ico
1 [2018-06-10 "HEAD /robots.txt
1 [2018-06-10 "HEAD /
1 [2018-06-10 "GET /x
1 [2018-06-10 "GET /.well-known/security.txt
1 [2018-06-10 "GET /PMA/
1 [2018-06-10 "GET /pma/
1 [2018-06-10 "GET /phpMyAdmin-2.6.0-beta2/
1 [2018-06-10 "GET /phpMyAdmin-2.6.0-beta1/
1 [2018-06-10 "GET /phpMyAdmin-2.6.0-alpha2/
1 [2018-06-10 "GET /phpMyAdmin-2.6.0-alpha/
1 [2018-06-10 "GET /phpMyAdmin-2.5.7-pl1/
1 [2018-06-10 "GET /phpMyAdmin-2.5.7/
1 [2018-06-10 "GET /phpMyAdmin-2.5.6-rc2/
1 [2018-06-10 "GET /phpMyAdmin-2.5.6-rc1/
1 [2018-06-10 "GET /phpMyAdmin-2.5.6/
1 [2018-06-10 "GET /phpMyAdmin-2.5.5-rc2/
1 [2018-06-10 "GET /phpMyAdmin-2.5.5-rc1/
1 [2018-06-10 "GET /phpMyAdmin-2.5.5-pl1/
1 [2018-06-10 "GET /phpMyAdmin-2.5.5/
1 [2018-06-10 "GET /phpMyAdmin-2.5.4/
1 [2018-06-10 "GET /phpMyAdmin-2.5.1/
1 [2018-06-10 "GET /phpMyAdmin-2.2.6/
1 [2018-06-10 "GET /phpMyAdmin-2.2.3/
1 [2018-06-10 "GET /phpMyAdmin2/
1 [2018-06-10 "GET /phpMyAdmin-2/
1 [2018-06-10 "GET /phpmyadmin2/
1 [2018-06-10 "GET /phpMyAdmin/
1 [2018-06-10 "GET /phpmyadmin/
1 [2018-06-10 "GET /php-my-admin/
1 [2018-06-10 "GET /openserver/phpmyadmin/
1 [2018-06-10 "GET /mysql/
1 [2018-06-10 "GET /myadmin/
1 [2018-06-10 "GET /manager/html
1 [2018-06-10 "GET http://www.msftncsi[.]com/ncsi.txt
1 [2018-06-10 "GET /HNAP1/
1 [2018-06-10 "GET /dbadmin/
1 [2018-06-10 "GET /admin/

またも大量のPhpMyAdmin関係です。
それっぽいのは抜いて見ましょう。

48 [2018-06-10 "GET /
3 [2018-06-10 "PROPFIND /
3 [2018-06-10 "POST /wls-wsat/CoordinatorPortType
2 [2018-06-10 "GET /sitemap.xml
2 [2018-06-10 "GET /robots.txt
2 [2018-06-10 "GET /favicon.ico
1 [2018-06-10 "HEAD /robots.txt
1 [2018-06-10 "HEAD /
1 [2018-06-10 "GET /x
1 [2018-06-10 "GET /.well-known/security.txt
1 [2018-06-10 "GET /manager/html
1 [2018-06-10 "GET http://www.msftncsi[.]com/ncsi.txt
1 [2018-06-10 "GET /HNAP1/

いつものWeblogic脆弱性が本日は3件です。

それ以外にはサイトの構成調査と思われるのが11件。

それ以外で気になるのは、以下のログです。

1 [2018-06-10 "GET /x
1 [2018-06-10 "GET /.well-known/security.txt
1 [2018-06-10 "GET /manager/html
1 [2018-06-10 "GET http://www.msftncsi[.]com/ncsi.txt
1 [2018-06-10 "GET /HNAP1/

それぞれ見ていきましょう。

1 [2018-06-10 "GET /x
User-Agent: Telesphoreo

UAから判断するに、iOSの脱獄に関するアプリのようです。 

1 [2018-06-10 "GET /.well-known/security.txt  

SSL証明書を発行するときの一時ファイルがあるかの調査行為と思われます。

1 [2018-06-10 "GET /manager/html

Tomcatの管理ツールがあるかの調査行為と思われます。

1 [2018-06-10 "GET /HNAP1/

→D-Link 社のルータにおける SOAPAction に対するコマンド実行の試み(CVE-2015-2051)があるかの調査行為と思われます。

1 [2018-06-10 "GET http://www.msftncsi[.]com/ncsi.txt

→プロキシを探す調査行為と思われます。 

 

なお、本日のハンティングログはありませんでした。