23log

WOWHoneypotで観測した日々のログをつらつらと

トップ > Honeypot > WOWHoneypot観察(18日目)

WOWHoneypot観察(18日目)

Honeypot

2019/04/03(水)


トータルは23143件でした。
もう一度言います。23143件でした。

件数 概要 リクエス
2915 Tomcat管理ページへ対するブルートフォース攻撃 GET /manager/html
527 WordPressブルートフォース攻撃 POST /1/wp-login.php
527 WordPressの調査 GET /1/wp-login.php
526 WordPress の Pingback を狙ったブルートフォース攻撃 POST /blog2/xmlrpc.php
526 WordPressの調査 GET /blog2/wp-login.php
524 WordPressの調査 GET /forum/wp-login.php
523 WordPressブルートフォース攻撃 POST /blog2/wp-login.php
523 WordPress の Pingback を狙ったブルートフォース攻撃 POST /1/xmlrpc.php
522 WordPressブルートフォース攻撃 POST /forum/wp-login.php
522 WordPress の Pingback を狙ったブルートフォース攻撃 POST /3/xmlrpc.php
521 WordPress の Pingback を狙ったブルートフォース攻撃 POST /news/xmlrpc.php
521 WordPressの調査 GET /3/wp-login.php
520 WordPressブルートフォース攻撃 POST /news/wp-login.php
519 WordPress の Pingback を狙ったブルートフォース攻撃 POST /forum/xmlrpc.php
519 WordPressの調査 GET /wp/wp-login.php
518 WordPressブルートフォース攻撃 POST /vlog/wp-login.php
518 WordPressの調査 GET /vlog/wp-login.php
517 WordPress の Pingback を狙ったブルートフォース攻撃 POST /wp/xmlrpc.php
517 WordPressの調査 GET /news/wp-login.php
516 WordPressブルートフォース攻撃 POST /wp/wp-login.php
516 WordPressブルートフォース攻撃 POST /3/wp-login.php
515 WordPress の Pingback を狙ったブルートフォース攻撃 POST /vlog/xmlrpc.php
515 WordPress の Pingback を狙ったブルートフォース攻撃 POST /site/xmlrpc.php
515 WordPressブルートフォース攻撃 POST /blog3/wp-login.php
515 WordPressの調査 GET /site/wp-login.php
514 WordPressブルートフォース攻撃 POST /site/wp-login.php
512 WordPress の Pingback を狙ったブルートフォース攻撃 POST /blog3/xmlrpc.php
512 WordPressの調査 GET /shop/wp-login.php
512 WordPressの調査 GET /blog3/wp-login.php
511 WordPress の Pingback を狙ったブルートフォース攻撃 POST /shop/xmlrpc.php
510 WordPressの調査 GET /blog/wp-login.php
509 WordPressブルートフォース攻撃 POST /shop/wp-login.php
508 WordPressブルートフォース攻撃 POST /domain/xmlrpc.php
508 WordPressの調査 GET /domain/wp-login.php
507 WordPressブルートフォース攻撃 POST /domain/wp-login.php
507 POST /blog/xmlrpc.php
507 WordPressブルートフォース攻撃 POST /blog/wp-login.php
507 WordPressの調査 GET /2/wp-login.php
506 WordPress の Pingback を狙ったブルートフォース攻撃 POST /2/xmlrpc.php
505 WordPressブルートフォース攻撃 POST /2/wp-login.php
61 アクセス GET /
17 三者中継攻撃 GET hxxp://checkip.dyndns.com/
4 三者中継攻撃 GET hxxp://www.google.com/
3 ZmEuによる調査 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
3 phpMyAdminの調査 GET /pma/scripts/setup.php
3 phpMyAdminの調査 GET /phpmyadmin/scripts/setup.php
3 phpMyAdminの調査 GET /phpMyAdmin/scripts/setup.php
3 phpMyAdminの調査 GET /myadmin/scripts/setup.php
3 phpMyAdminの調査 GET /MyAdmin/scripts/setup.php
2 調査 HEAD /
1 Spring Data Commonsの脆弱性を狙った通信 POST /users?page=&size=5
1 不明 HEAD hxxp://112.124.42.80:63435/
1 クローリング HEAD /robots.txt
1 三者中継攻撃 GET hxxp://www.so.com/?rands=_7492532308709382765124
1 三者中継攻撃 GET hxxp://www.so.com/?rands=_478050787023982422018880
1 三者中継攻撃 GET hxxp://www.ceek.jp/?rands=_95920143672416542007012368
1 三者中継攻撃 GET hxxp://www.ceek.jp/?rands=_12392499200884583516288
1 phpMyAdminの調査 GET /phpmyadmin/index.php
1 調査 GET /index.php

多すぎだよ!!!

でも攻撃の種類は少なかったです。
ほとんどWordPress関連でした。

1件詳細不明な通信がありました。

HEAD hxxp://112.124.42.80:63435/ HTTP/1.1
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36
BS_REAL_IP: TmpBdU1Ua3hMalV5TGpJMU5Dd3hNVEl1TVRjdU1USTFMakU0TUE9PQ==
Host: 112.124.42.80:63435
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Proxy-Connection: keep-alive

。。。。?

BS_REAL_IP:以下がエンコードされているっぽいのでデコードしてみます。

NjAuMTkxLjUyLjI1NCwxMTIuMTcuMTI1LjE4MA==

あー。。。そういう感じですか。

60.191.52.254,112.17.125.180

BASE64で二重にエンコードされていました。
IPが二つ出てきましたがこれらの詳細もイマイチわからず。。。
片方のIPは何やらレピュテーション低そう。
exchange.xforce.ibmcloud.com

そもそも"BS_REAL_IP"が調べても情報が出てこず結局わかりませんでした。
わかる方いましたらご教示いただけると幸いです。