ハニーポットのログ分析(2019/02/22)
WOWhoneypotの2019/02/22(金) (運用261日目)の簡易分析です。
本日の総アクセス件数は64件です。送信元IP数は53IPです。
本日の主なアクセスは以下です。
・GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:11件
・phpMyAdminの調査:6件
・HordeIMPの脆弱性を狙った調査:4件
・(新規)nginxの調査
→「GET /nginx_status」に対するアクセスです。nginxの「HttpStubStatusModule」モジュールを有効にしているとアクセスできるパスで本来であれば、ローカル等に制限しているべきものです。
・Drupalの調査:1件
→Drupal のv7までに存在するパス「/CHANGELOG.txt」に対するアクセスです。なお、v8からは「/core/CHANGELOG.txt」になりますが、こちらのアクセスは観測していません。
Drupalから新たに危険な脆弱性に対するアップデートの発表があったため、その前にDrupalがどこにあるかを調査しているものと思われます。
なお、この調査行為は広く観測しているようです。以下の情報によると、8つのAWSからスキャンしているようです。
Currently seeing Drupal-related scans attempting to use the "CHANGELOG.txt" method to locate vulnerable sites due to CVE-2019-6340.
— Bad Packets Report (@bad_packets) February 22, 2019
The correct path for Drupal 8 is /core/CHANGELOG.txt – however you won't find the version the site using. It's just a generic message. pic.twitter.com/AWzhJH8t2l
本日のドメイン名でのアクセスは以下です。
4 GET /
1 GET /robots.txt
本日のハンティングログは以下です。
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
34 | 2019/2/22 | アクセス | GET / |
11 | 2019/2/22 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
2 | 2019/2/22 | phpMyAdminの調査 | GET /phpmyadmin/index.php |
2 | 2019/2/22 | phpMyAdminの調査 | GET /mysql/admin/index.php?lang=en |
2 | 2019/2/22 | phpMyAdminの調査 | GET /index.php |
2 | 2019/2/22 | HordeIMPの脆弱性を狙った調査 | GET /horde/imp/test.php |
1 | 2019/2/22 | クローリング | GET /robots.txt |
1 | 2019/2/22 | nginxの調査 | GET /nginx_status |
1 | 2019/2/22 | 不明 | GET /moo |
1 | 2019/2/22 | HordeIMPの脆弱性を狙った調査 | GET /imp/test.php |
1 | 2019/2/22 | 不正中継の調査 | GET hxxp://112.35.63.31:8088/index.php |
1 | 2019/2/22 | HordeIMPの脆弱性を狙った調査 | GET /horde3/imp/test.php |
1 | 2019/2/22 | #N/A | GET /CHANGELOG.txt |
1 | 2019/2/22 | 不正中継の調査 | CONNECT proxyjudge.us:80 |
1 | 2019/2/22 | 不正中継の調査 | CONNECT ident.me:443 |
1 | 2019/2/22 | 不正中継の調査 | CONNECT azenv.net:80 |
1 | 2019/2/22 | 不正中継の調査 | CONNECT api.ipify.org:443 |
以上です。