BW-Potのログ分析 (2019/02/23 - 2019/03/05)
BW-Potのログを見てみました。
動かし始めたばかりなので、ログの見方やはまだあまりわかっていないので、
とりあえず今回は、ログの中で特に多いものをざっと眺めてみようかなと思います。
2019/02/23 - 2019/03/05期間内で多いログをまとめてみました
| method | uri | request_body | |
|---|---|---|---|
| ① | GET | / | |
| ② | GET | /manager/html | |
| ③ | GET | /phpmyadmin/scripts/setup.php | |
| ④ | GET | /phpmyadmin/index.php?pma_username=root&pma_password=password&server=1 | |
| ⑤ | GET | /mysql-admin/index.php?pma_username=root&pma_password=password&server=1 | |
| ⑥ | GET | /wp-config.php | |
| ⑦ | POST | /wp-admins.php | ajax=true&a=Php&p1=die(@md5(J4nur4ry)); |
| ⑧ | POST | /1.php | cmd=die(@md5(F3bru4ry)); |
①はとりあえずクロールしているのかな
UAを見るとIP調査システム系、ブラウザっぽいUA、UAなしのものが大半ですね。
正直、ドメインも取ってないハニーポットに対してブラウザから来るとは思えないし、
UA偽装しているんだろうなぁ
②は /manager から始まっているので、Apache Tomcat狙いだと思われます。
③は phpmyadminに対する攻撃ですね。
2009年頃に見つかった脆弱性に対しての攻撃みたいですが、
約10年たっても、まだ続いているのに少々驚いています。
④⑤はまたしてもphpmyadminに対する攻撃です。
よくあるパスワードでログインを試みていたようです。
また次にでもよくあるUser/Passでもまとめようかと思います。
⑥はWordPressの設定情報をのぞこうとしているようです。
⑦⑧はWebshellの調査のようです。
また、他にもrequest_body内にJavaが書いてあるものなど単発しかありませんが、
何かしようとしているものもあるのですが、分析が追い付いていない状況です。
まだまだ全然分析力がないので、精進していこうかと思います。
