中国にある１つのIPからドメインあてに多数の通信が来ました。 以下の表にある通信件数が1件の通信は、ほぼすべて同一の送信元からの通信でした。 通信のほとんどが意図がわからず、不明としてあります。後日時間があれば調査しようと思います。 件数 種別 …

脆弱性を狙った通信が多い？一日でした。組込みシステムによく用いられるOS、ZeroShellに対する攻撃が記録されました。 typeパラメータを通して任意のコマンドを実行できるようです。 /var/tmp/voip.cfgを見ていることからIP電話などに対する攻撃でしょうか…

前日(2019/03/25)に引き続きWordPress関連の調査が多い一日でした。 ただ、前日とは違い/(path)/wp-login.phpのように wp-login.phpの一つ上にpathを追加して調査していた模様です。POSTによるWordPress向けの通信は一切記録されませんでした。 553 Tomcat管…

WordPressに関する以下の通信が非常に多い日でした。 GET /wp-login.php POST /wp-login.php POST /xmlrpc.php 送信元が100件ほどあり、大半が共通する送信元でした。 また、すべてのUAが共通して、以下のUAでした。 [Mozilla/5.0 (X11; Ubuntu; Linux x86_6…

CONNECTメソッドを通して GET 169.254.169[.]254/latest/meta-data という通信が来ていました。どうやらEC2のマシンから使用することで、インスタンスのメタデータを取得できるようです。 インスタンスメタデータとユーザーデータ - Amazon Elastic Compute …

BW_Potのログを見ていたら、2019/03/08に、NmapによるScanがあったため、 どのようなScanをしているのか確認してみた。 method protocol uri GET HTTP/1.1 /evox/about Trane Tracer SC 機器に対するScan Trane Tracer SCは建物系の制御システムの模様【参考…

BW-Potのログを見てみました。 動かし始めたばかりなので、ログの見方やはまだあまりわかっていないので、 とりあえず今回は、ログの中で特に多いものをざっと眺めてみようかなと思います。2019/02/23 - 2019/03/05期間内で多いログをまとめてみました metho…