S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypotの簡易分析(40日目)

WOWHoneypotの簡易分析(40日目)

honeypot

WOWhoneypotの2018/07/13(金) (運用40日目)の簡易分析です。
本日の総アクセス件数は 174件です。以下が全アクセスログです。

39 2018-07-13 GET /
14 2018-07-13 GET /index.action
2 2018-07-13 POST /qq.php
2 2018-07-13 GET /xampp/phpmyadmin/index.php
2 2018-07-13 GET /www/phpMyAdmin/index.php
2 2018-07-13 GET /web/phpMyAdmin/index.php
2 2018-07-13 GET /typo3/phpmyadmin/index.php
2 2018-07-13 GET /tools/phpMyAdmin/index.php
2 2018-07-13 GET /pmd/index.php
2 2018-07-13 GET /pma-old/index.php
2 2018-07-13 GET /pmamy/index.php
2 2018-07-13 GET /pmamy2/index.php
2 2018-07-13 GET /PMA/index.php
2 2018-07-13 GET /pma/index.php
2 2018-07-13 GET /PMA2/index.php
2 2018-07-13 GET /phpMyAdmin/phpMyAdmin/index.php
2 2018-07-13 GET /phpmyadmin/phpmyadmin/index.php
2 2018-07-13 GET /phpMyAdminold/index.php
2 2018-07-13 GET /phpMyAdmin.old/index.php
2 2018-07-13 GET /phpmyadmin-old/index.php
2 2018-07-13 GET /phpMyAdmin/index.php
2 2018-07-13 GET /phpmyadmin/index.php
2 2018-07-13 GET /phpMyadmin_bak/index.php
2 2018-07-13 GET /phpmyadmin2/index.php
2 2018-07-13 GET /phpmyadmin1/index.php
2 2018-07-13 GET /phpmyadmin0/index.php
2 2018-07-13 GET /phpma/index.php
2 2018-07-13 GET /phpadmin/index.php
2 2018-07-13 GET /mysql/index.php
2 2018-07-13 GET /mysqladmin/index.php
2 2018-07-13 GET /mysql-admin/index.php
2 2018-07-13 GET /myadmin/index.php
2 2018-07-13 GET /myadmin2/index.php
2 2018-07-13 GET /index.php
2 2018-07-13 GET /db/index.php
2 2018-07-13 GET /dbadmin/index.php
2 2018-07-13 GET /claroline/phpMyAdmin/index.php
2 2018-07-13 GET /admin/PMA/index.php
2 2018-07-13 GET /admin/pma/index.php
2 2018-07-13 GET /admin/phpMyAdmin/index.php
2 2018-07-13 GET /admin/phpmyadmin/index.php
2 2018-07-13 GET /admin/phpmyadmin2/index.php
2 2018-07-13 GET /admin/mysql/index.php
2 2018-07-13 GET /admin/mysql2/index.php
2 2018-07-13 GET /admin/index.php
1 2018-07-13 PROPFIND /
1 2018-07-13 POST /yao.php
1 2018-07-13 POST /xx.php
1 2018-07-13 POST /xw.php
1 2018-07-13 POST /xw1.php
1 2018-07-13 POST /xshell.php
1 2018-07-13 POST /xiao.php
1 2018-07-13 POST /xiaoma.php
1 2018-07-13 POST /wuwu11.php
1 2018-07-13 POST /wshell.php
1 2018-07-13 POST /w.php
1 2018-07-13 POST /weixiao.php
1 2018-07-13 POST /webslee.php
1 2018-07-13 POST /wc.php
1 2018-07-13 POST /s.php
1 2018-07-13 POST /sheep.php
1 2018-07-13 POST /q.php
1 2018-07-13 POST /phpstudy.php
1 2018-07-13 POST /pe.php
1 2018-07-13 POST /mx.php
1 2018-07-13 POST /log.php
1 2018-07-13 POST /lindex.php
1 2018-07-13 POST /feixiang.php
1 2018-07-13 POST /fack.php
1 2018-07-13 POST /defect.php
1 2018-07-13 POST /db_session.init.php
1 2018-07-13 POST /db.init.php
1 2018-07-13 POST /db__.init.php
1 2018-07-13 POST /data.php
1 2018-07-13 POST /conflg.php
1 2018-07-13 POST /angge.php
1 2018-07-13 POST /ak47.php
1 2018-07-13 POST /9678.php
1 2018-07-13 HEAD /
1 2018-07-13 GET /webdav

phpMyAdmin関連(85件)と/を除外したアクセス数です。

14 2018-07-13 GET /index.action
2 2018-07-13 POST /qq.php
1 2018-07-13 POST /yao.php
1 2018-07-13 POST /xx.php
1 2018-07-13 POST /xw.php
1 2018-07-13 POST /xw1.php
1 2018-07-13 POST /xshell.php
1 2018-07-13 POST /xiao.php
1 2018-07-13 POST /xiaoma.php
1 2018-07-13 POST /wuwu11.php
1 2018-07-13 POST /wshell.php
1 2018-07-13 POST /w.php
1 2018-07-13 POST /weixiao.php
1 2018-07-13 POST /webslee.php
1 2018-07-13 POST /wc.php
1 2018-07-13 POST /s.php
1 2018-07-13 POST /sheep.php
1 2018-07-13 POST /q.php
1 2018-07-13 POST /phpstudy.php
1 2018-07-13 POST /pe.php
1 2018-07-13 POST /mx.php
1 2018-07-13 POST /log.php
1 2018-07-13 POST /lindex.php
1 2018-07-13 POST /feixiang.php
1 2018-07-13 POST /fack.php
1 2018-07-13 POST /defect.php
1 2018-07-13 POST /db_session.init.php
1 2018-07-13 POST /db.init.php
1 2018-07-13 POST /db__.init.php
1 2018-07-13 POST /data.php
1 2018-07-13 POST /conflg.php
1 2018-07-13 POST /angge.php
1 2018-07-13 POST /ak47.php
1 2018-07-13 POST /9678.php
1 2018-07-13 GET /webdav

 Struts脆弱性を突く攻撃(GET index.action)の攻撃コード部を見てみましたが、whoami以外、引数が何もなく、何がしたいのか不明でした。

POST *.php のものは、日を追うごとにバリエーションが増えていますね。
WebShellが埋め込まれているかの調査の可能性がありそう、と他の方から伺っています。
なお、今回の攻撃コード部と思われる部分は(md5('PHP'))と変化していました。応答によって攻撃が成功するか調べているものと思われます。

 

本日のハンティングログはありません。

 

以上です。