FreePBXやCisco IOS Telephony Serviceなど、おそらくVoIP関連の通信が見られました。 また、昨日に続きWordPress関連の通信が多い一日となっています。 件数 種別 リクエスト 457 WordPress、XML-RPCに関する攻撃 POST /xmlrpc.php 456 WordPressに関する調…

WordPressに関する通信が多い一日でした。WordPressに関する通信が日本時間で 2019/03/29 06:00-07:00頃に一旦止まっていました。 HoneyPot自体は稼働していたので、攻撃側に何かあったのでしょうか？ 707 WordPressに関する調査 GET /wp-login.php 707 Word…

中国にある１つのIPからドメインあてに多数の通信が来ました。 以下の表にある通信件数が1件の通信は、ほぼすべて同一の送信元からの通信でした。 通信のほとんどが意図がわからず、不明としてあります。後日時間があれば調査しようと思います。 件数 種別 …

脆弱性を狙った通信が多い？一日でした。組込みシステムによく用いられるOS、ZeroShellに対する攻撃が記録されました。 typeパラメータを通して任意のコマンドを実行できるようです。 /var/tmp/voip.cfgを見ていることからIP電話などに対する攻撃でしょうか…

前日(2019/03/25)に引き続きWordPress関連の調査が多い一日でした。 ただ、前日とは違い/(path)/wp-login.phpのように wp-login.phpの一つ上にpathを追加して調査していた模様です。POSTによるWordPress向けの通信は一切記録されませんでした。 553 Tomcat管…

WordPressに関する以下の通信が非常に多い日でした。 GET /wp-login.php POST /wp-login.php POST /xmlrpc.php 送信元が100件ほどあり、大半が共通する送信元でした。 また、すべてのUAが共通して、以下のUAでした。 [Mozilla/5.0 (X11; Ubuntu; Linux x86_6…

CONNECTメソッドを通して GET 169.254.169[.]254/latest/meta-data という通信が来ていました。どうやらEC2のマシンから使用することで、インスタンスのメタデータを取得できるようです。 インスタンスメタデータとユーザーデータ - Amazon Elastic Compute …

Cowrieについて、ログの読み方をわかる範囲でまとめてみました。cowrieはeventidを見ることで、ログに記載される情報が変わります。 また、各種ログはsessionフィールドによって紐づけることができます。 cowrie.client.kex cowrieに接続してきたSSHクライア…

BW_Potのログを見ていたら、2019/03/08に、NmapによるScanがあったため、 どのようなScanをしているのか確認してみた。 method protocol uri GET HTTP/1.1 /evox/about Trane Tracer SC 機器に対するScan Trane Tracer SCは建物系の制御システムの模様【参考…

Cowrieのログを見てみた。今回はloginして後、お客様(攻撃者)がよく打つコマンドを見てみようと思う。よく入力されるコマンドTOP３は 順位 コマンド 1位 cat /proc/cpuinfo | grep name | wc -l 2位 uname -n -s -r -v 3位 uname -a ; lscpu 1位のコマンドは…

BW-Potのログを見てみました。 動かし始めたばかりなので、ログの見方やはまだあまりわかっていないので、 とりあえず今回は、ログの中で特に多いものをざっと眺めてみようかなと思います。2019/02/23 - 2019/03/05期間内で多いログをまとめてみました metho…

Cowrieのログを見てみた。 まだログの見方がいろいろと分かっていないため、 とりあえずUser/Passwordあたりを見ていこうと思う。2019/02/23 - 2019/02/26の間でログイン試行は、33317件あった。 こんなにも来るんですね…全組み合わせは載せれないので、 と…

ブログやらTwitterやら始めました。 Twitterとかで日々のメモとか残して定期的にブログに記事としてまとめたりしようかなと思います。 他にも、CowrieとBW_Potを動かし、Splunkに取り込んでいるので、そこら辺を投稿していきたいと思います。