ハニーポットのログ分析(2019/03/23)
WOWhoneypotの2019/03/23(土) (運用290日目)の簡易分析です。
本日の総アクセス件数は52件です。送信元IP数は28IPです。
本日の主なアクセスは以下です。
・ GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:9 件
→User-Agent: Hello, World 、うち1つのIPはAVTECHでした。
・ phpMyAdminの調査:5 件
→User-Agent: ZmEu によるスキャン
・NMAPによるスキャン:3件
→User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
・ThinkPHPの脆弱性を突いた攻撃:2件
→うち、1件は新たに以下で来ていました。
「POST /index.php?s=captcha」
「_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n HelloThinkPHP|md5sum」
本日のドメイン名でのアクセスは以下です。
3 GET /
1 POST /wp-admin/admin-ajax.php
1 POST /sdk
1 GET /robots.txt
1 GET /NmapUpperCheck1553299727
1 GET /nmaplowercheck1553299727
本日のハンティングログはありません。
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
24 | 2019/3/23 | アクセス | GET / |
9 | 2019/3/23 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
2 | 2019/3/23 | クローリング | GET /robots.txt |
1 | 2019/3/23 | WordPressの調査 | POST /wp-admin/admin-ajax.php |
1 | 2019/3/23 | vmwareのバージョン調査 | POST /sdk |
1 | 2019/3/23 | ThinkPHPの脆弱性を突いた攻撃 | POST /index.php?s=captcha |
1 | 2019/3/23 | XDebugの調査 | GET /?XDEBUG_SESSION_START=phpstorm |
1 | 2019/3/23 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt |
1 | 2019/3/23 | 脆弱性スキャンツールZmEuによる調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
1 | 2019/3/23 | サイト構成調査 | GET /sitemap.xml |
1 | 2019/3/23 | phpMyAdminの調査 | GET /pma/scripts/setup.php |
1 | 2019/3/23 | phpMyAdminの調査 | GET /phpMyAdmin/scripts/setup.php |
1 | 2019/3/23 | phpMyAdminの調査 | GET /phpmyadmin/scripts/setup.php |
1 | 2019/3/23 | NMAPによるスキャン | GET /NmapUpperCheck1553299727 |
1 | 2019/3/23 | NMAPによるスキャン | GET /nmaplowercheck1553299727 |
1 | 2019/3/23 | phpMyAdminの調査 | GET /MyAdmin/scripts/setup.php |
1 | 2019/3/23 | phpMyAdminの調査 | GET /myadmin/scripts/setup.php |
1 | 2019/3/23 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
1 | 2019/3/23 | ThinkPHPの脆弱性を突いた攻撃 | GET /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars0]=md5&vars1]]=HelloThinkPHP |
1 | 2019/3/23 | アクセス | GET /favicon.ico |
以上です。