ハニーポットのログ分析(2019/03/25)
WOWhoneypotの2019/03/25(月) (運用292日目)の簡易分析です。
本日の総アクセス件数は734件です。送信元IP数は214IPです。
本日の主なアクセスは以下です。
・WordPressの調査 389 件
→第二オクテット配下が異なる複数のIP群から来ています。
URLが存在するかを確認し、その後つぎのブルートフォースに以降するものと考えられます。
また、どちらも同じUAでした。
「User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0」
・WordPressのログイン試行攻撃:308 件
→180程度のIPからアクセスがありました。上記と同じ第二オクテット配下が異なる複数のIPからパスワードを変えながらログイン試行をしているようでした。分散型のブルートフォースですね。
POSTのbodyは例えばこういった形でした。
「log=&pwd=&wp-submit=Log In&redirect_to=hxxp://(ipaddr)/wp-admin/&testcookie=1」
・GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:1 件
本日のドメイン名でのアクセスは以下です。
2 GET /
1 GET /robots.txt
本日のハンティングログはありません。
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
122 | 2019/3/25 | WordPressの調査 | GET /wp/wp-login.php |
122 | 2019/3/25 | WordPressの調査 | GET /wp-login.php |
120 | 2019/3/25 | WordPressのログイン試行攻撃 | POST /wp/wp-login.php |
120 | 2019/3/25 | WordPressのログイン試行攻撃 | POST /wp-login.php |
94 | 2019/3/25 | WordPressのログイン試行攻撃 | POST /xmlrpc.php |
94 | 2019/3/25 | WordPressのログイン試行攻撃 | POST /wp/xmlrpc.php |
33 | 2019/3/25 | アクセス | GET / |
2 | 2019/3/25 | WordPressの調査 | GET /wp//wp-json/wp/v2/users/ |
2 | 2019/3/25 | WordPressの調査 | GET /wp//?author=1 |
2 | 2019/3/25 | WordPressの調査 | GET /wp1/wp-login.php |
2 | 2019/3/25 | WordPressの調査 | GET /wp1//wp-json/wp/v2/users/ |
2 | 2019/3/25 | WordPressの調査 | GET /wp1//?author=1 |
2 | 2019/3/25 | WordPressの調査 | GET /wordpress/wp-login.php |
2 | 2019/3/25 | WordPressの調査 | GET /wordpress//wp-json/wp/v2/users/ |
2 | 2019/3/25 | WordPressの調査 | GET /wordpress//?author=1 |
2 | 2019/3/25 | WordPressの調査 | GET /user/login |
2 | 2019/3/25 | WordPressの調査 | GET /bitrix/admin/ |
2 | 2019/3/25 | WordPressの調査 | GET ///?author=1 |
2 | 2019/3/25 | WordPressの調査 | GET /administrator/index.php |
1 | 2019/3/25 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
1 | 2019/3/25 | クローリング | HEAD /robots.txt |
1 | 2019/3/25 | WordPressの調査 | GET ///wp-json/wp/v2/users/ |
1 | 2019/3/25 | 仮想通貨の調査 | GET /wallet/54e24501-f3bd-4917-8073-f628a7bfd287?format=json&resend_code=null&ct=1553455392555&api_code=1770d5d9-bcea-4d28-ad21-6cbd5be018a |
1 | 2019/3/25 | クローリング | GET /robots.txt |
以上です。