BW-Potのログ分析 (2019/03/25)
WordPressに関する以下の通信が非常に多い日でした。
送信元が100件ほどあり、大半が共通する送信元でした。
また、すべてのUAが共通して、以下のUAでした。
[Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0]
wp-login.phpに対し、以下のようなbodyを投げていました。
[log=&pwd=&wp-submit=Log In&redirect_to=hxxp://(ipaddr)/wp-admin/&testcookie=1]
送信元IPごとに試行するパスワードが違っていたため、分散型ブルートフォース攻撃だと思われます。
| 件数 | 種別 | リクエスト |
| 512 | phpMyAdminの調査 | POST /phpmyadmin/ |
| 274 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 124 | WordPressに関する調査 | GET /wp-login.php |
| 122 | WordPressへのログイン試行 | POST /wp-login.php |
| 95 | WordPress、XML-RPCに関する攻撃 | POST /xmlrpc.php |
| 42 | アクセス | GET / |
| 2 | Drupalに関する調査 | GET /user/login |
| 2 | Joomla!に関する調査 | GET /administrator/index.php |
| 2 | WordPress REST APIを利用したユーザー情報の取得 | GET ///wp-json/wp/v2/users/ |
| 2 | WordPress REST APIを利用したユーザー情報の取得 | GET /wp-json/wp/v2/users/ |
| 2 | WordPressに関する調査 | GET /wordpress/wp-login.php |
| 2 | WordPressに関する調査 | GET /wp/wp-login.php |
| 2 | WordPressに関する調査 | GET /wp1/wp-login.php |
| 2 | WordPressのユーザー情報の取得 | GET ///?author=1 |
| 2 | phpMyAdminに関する調査 | GET /phpMyAdmin/scripts/setup.php |
| 2 | phpMyAdminに関する調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
| 1 | 不正中継の調査 | GET openws.idax[.]mn/ws |
| 1 | 不正中継の調査 | POST 159.89.182[.]124/tmUnblock.cgi |
| 1 | Bitrixに関する調査 | GET /bitrix/admin/ |
| 1 | phpMyAdminに関する調査 | /MyAdmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /myadmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /pma/scripts/setup.php |
| 1 | クローリング | HEAD /robots.txt |
| 1 | バージョンに関する調査 | GET /version |
