WOWHoneypot簡易分析(10日目)
WOWhoneypotの2018/6/13(水)(運用10日目)の簡易分析です。
本日の総アクセス数は291件です。
$ awk '/06-13/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr
148 [2018-06-13 "GET /
74 [2018-06-13 "GET /manager/html
2 [2018-06-13 "HEAD /
2 [2018-06-13 "GET /xampp/phpmyadmin/index.php
2 [2018-06-13 "GET /www/phpMyAdmin/index.php
2 [2018-06-13 "GET /web/phpMyAdmin/index.php
2 [2018-06-13 "GET /typo3/phpmyadmin/index.php
2 [2018-06-13 "GET /pmd/index.php
2 [2018-06-13 "GET /pma-old/index.php
2 [2018-06-13 "GET /pmamy2/index.php
2 [2018-06-13 "GET /pma/index.php
2 [2018-06-13 "GET /PMA2/index.php
2 [2018-06-13 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-13 "GET /phpMyAdminold/index.php
2 [2018-06-13 "GET /phpmyadmin-old/index.php
2 [2018-06-13 "GET /phpMyAdmin/index.php
2 [2018-06-13 "GET /phpMyadmin_bak/index.php
2 [2018-06-13 "GET /phpmyadmin1/index.php
2 [2018-06-13 "GET /phpmyadmin0/index.php
2 [2018-06-13 "GET /phpma/index.php
2 [2018-06-13 "GET /phpadmin/index.php
2 [2018-06-13 "GET /mysql-admin/index.php
2 [2018-06-13 "GET /myadmin/index.php
2 [2018-06-13 "GET /myadmin2/index.php
2 [2018-06-13 "GET /index.php
2 [2018-06-13 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-13 "GET /admin/PMA/index.php
2 [2018-06-13 "GET /admin/pma/index.php
2 [2018-06-13 "GET /admin/phpMyAdmin/index.php
2 [2018-06-13 "GET /admin/phpmyadmin2/index.php
2 [2018-06-13 "GET /admin/mysql/index.php
2 [2018-06-13 "GET /admin/mysql2/index.php
1 [2018-06-13 "PROPFIND /
1 [2018-06-13 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-13 "GET /pma/scripts/setup.php
1 [2018-06-13 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-13 "GET /phpmyadmin/phpmyadmin/index.php
1 [2018-06-13 "GET /myadmin/scripts/setup.php
1 [2018-06-13 "GET /db/index.php
1 [2018-06-13 "GET /dbadmin/index.php
1 [2018-06-13 "GET /admin/index.php
phpMyAdmin関係と思われるものを除きます。
awk '/06-13/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr | grep -v index.php
148 [2018-06-13 "GET /
74 [2018-06-13 "GET /manager/html
2 [2018-06-13 "HEAD /
1 [2018-06-13 "PROPFIND /
1 [2018-06-13 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-13 "GET /pma/scripts/setup.php
1 [2018-06-13 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-13 "GET /myadmin/scripts/setup.php
phpMyAdmin関係はこれまでindex.phpでしたが、本日はsetup.phpへのアクセスも3件ありました。
/wls-wsat/はWeblogicの脆弱性をついた攻撃と思いますが、前日と同様の内容でした。
それ以外で多かったのは、以下です。
74 [2018-06-13 "GET /manager/html
これまでもありましたが、Tomcatの管理ツールがあるかの調査行為と思われます。
パケットの内容を見ると、例えば以下です。
GET /manager/html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Authorization: Basic bWFuYWdlcjp0b21jYXQyMDE3 ※manager:tomcat2017
GET /manager/html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Authorization: Basic bWFuYWdlcjp0b21jYXQyMDE4 ※manager:tomcat2018
どうやら管理ページが存在するはずのページにbasic認証でブルートフォースを仕掛けているようです。そのため、アクセス数も多くなっているようです
ハンティングログはありませんでした。
以上です。