BW-Potのログ分析 (Nmapについて)
BW_Potのログを見ていたら、2019/03/08に、NmapによるScanがあったため、
どのようなScanをしているのか確認してみた。
| method | protocol | uri |
|---|---|---|
| GET | HTTP/1.1 | /evox/about |
Trane Tracer SC 機器に対するScan
Trane Tracer SCは建物系の制御システムの模様
【参考】
- https://github.com/nmap/nmap/blob/199c844d8af10fc4027b0bbf3bcbf0e48d32b9be/scripts/http-trane-info.nse
- https://www.trane.com/commercial/asia-pacific/au/en/controls/building-Management/tracer-sc.html
| method | protocol | uri |
|---|---|---|
| GET | HTTP/1.1 | /nmaplowercheck1551992248 |
| GET | HTTP/1.1 | /NmapUpperCheck1551992248 |
| GET | HTTP/1.1 | /Nmap/folder/check1551992248 |
存在しないページに対するレスポンスを確認するScan
・そもそも404を返すのか?
・404を返すページはどのようなものか?
などを見ているようです。
また、checkの後ろにある数列は、実行時のEpochTimeの模様です。
【参考】
| method | protocol | uri | request_body |
|---|---|---|---|
| POST | HTTP/1.1 | /sdk | <soap:Envelope xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Header><operationID>00000001-00000001</operationID></soap:Header><soap:Body><RetrieveServiceContent xmlns="urn:internalvim25"><_this xsi:type="ManagedObjectReference" type="ServiceInstance">ServiceInstance</_this></RetrieveServiceContent></soap:Body></soap:Envelope> |
VMwareサーバーのバージョン情報を確認するScan
【参考】
| method | protocol | uri |
|---|---|---|
| GET | HTTP/1.1 | /HNAP1 |
ネットワーク機器に関するScan
【参考】
また、Nmapとは別に、同じ送信元からcurlによる通信等も確認できた。
| method | protocol | uri | user_agent |
|---|---|---|---|
| GET | HTTP/1.0 | / | |
| GET | HTTP/1.1 | / | |
| GET | HTTP/1.1 | / | curl/7.52.1 |
Nmapとかの診断ツールも触っていきたいですね。
