WOWHoneypot観察(1日目)
今日から頑張ります。
3/17分のログです。 ご査収ください。
648 [2019-03-17 "GET /manager/html
109 [2019-03-17 "GET /6 [2019-03-17 "GET /favicon.ico
2 [2019-03-17 "GET http[:]//www[.]ip[.]cn/
2 [2019-03-17 "GET http[:]//api[.]ipify[.]org/
2 [2019-03-17 "CONNECT www.baidu.com:443
2 [2019-03-17 "CONNECT cn.bing.com:4432 [2019-03-17 "GET /robots.txt
1 [2019-03-17 "POST /tmUnblock.cgi
1 [2019-03-17 "HEAD /
1 [2019-03-17 "GET http[:]//www[.]baidu[.]com/?rands=_168778792014115843247528
1 [2019-03-17 "GET http[:]//www[.]123cha[.]com/
1 [2019-03-17 "GET http[:]//157.52.156[.]49:42788/vs.php?rands=_54563222721844691698688
1 [2019-03-17 "GET http[:]//104.148.42[.]211:42788/gvs.php?rands=_1492225907212940503632904
1 [2019-03-17 "GET /sitemap.xml
1 [2019-03-17 "GET /admin-scripts.asp
1 [2019-03-17 "GET /acadmin.php
1 [2019-03-17 "GET /.well-known/security.txt
1 [2019-03-17 "CONNECT www.baidu.com1 [2019-03-17 "GET http[:]//www[.]baidu[.]com/?rands=_45151673922679272577868
1 [2019-03-17 "GET http[:]//157.52.156[.]49:42788/vs.php?rands=_1498538301211834551412532
1 [2019-03-17 "GET http[:]//104.148.42[.]211:42788/gvs.php?rands=_7284261048551394996481 [2019-03-17 "GET /HNAP1/
いきなりこんなに来るの。。?
驚きました。。。
総アクセス 数は788件でした。
Tomcatの管理ページに対するブルートフォース攻撃が多いです。
CONNECT www.baidu.com:443
CONNECT cn.bing.com:443
こちらはWebサーバの設定不備を狙ったプロキシサーバの調査と思われます。
GET /robots.txt
クローリング通信
POST /tmUnblock.cgi
ルータの脆弱性を狙ったボットからの通信
残念、ルータじゃないよ。
GET /sitemap.xml
GET /admin-scripts.asp
GET /acadmin.php
GET /.well-known/security.txt
そんなものはない。出直してこい。
GET /HNAP1/
D-Linkルータの脆弱性(CVE-2015-2051)の調査
ルータじゃないよ。
【参考URL】
調査にあたり参考にさせていただきました。ありがとうございます。
狙われる甘〜いTomcat:川口洋のセキュリティ・プライベート・アイズ(15) - @IT
ハニーポット観察記録(21) at www.morihi-soc.net