前日(2019/03/25)に引き続きWordPress関連の調査が多い一日でした。 ただ、前日とは違い/(path)/wp-login.phpのように wp-login.phpの一つ上にpathを追加して調査していた模様です。POSTによるWordPress向けの通信は一切記録されませんでした。 553 Tomcat管…

WordPressに関する以下の通信が非常に多い日でした。 GET /wp-login.php POST /wp-login.php POST /xmlrpc.php 送信元が100件ほどあり、大半が共通する送信元でした。 また、すべてのUAが共通して、以下のUAでした。 [Mozilla/5.0 (X11; Ubuntu; Linux x86_6…

CONNECTメソッドを通して GET 169.254.169[.]254/latest/meta-data という通信が来ていました。どうやらEC2のマシンから使用することで、インスタンスのメタデータを取得できるようです。 インスタンスメタデータとユーザーデータ - Amazon Elastic Compute …

Cowrieについて、ログの読み方をわかる範囲でまとめてみました。cowrieはeventidを見ることで、ログに記載される情報が変わります。 また、各種ログはsessionフィールドによって紐づけることができます。 cowrie.client.kex cowrieに接続してきたSSHクライア…

BW_Potのログを見ていたら、2019/03/08に、NmapによるScanがあったため、 どのようなScanをしているのか確認してみた。 method protocol uri GET HTTP/1.1 /evox/about Trane Tracer SC 機器に対するScan Trane Tracer SCは建物系の制御システムの模様【参考…

Cowrieのログを見てみた。今回はloginして後、お客様(攻撃者)がよく打つコマンドを見てみようと思う。よく入力されるコマンドTOP３は 順位 コマンド 1位 cat /proc/cpuinfo | grep name | wc -l 2位 uname -n -s -r -v 3位 uname -a ; lscpu 1位のコマンドは…

BW-Potのログを見てみました。 動かし始めたばかりなので、ログの見方やはまだあまりわかっていないので、 とりあえず今回は、ログの中で特に多いものをざっと眺めてみようかなと思います。2019/02/23 - 2019/03/05期間内で多いログをまとめてみました metho…