ハニーポット観察日記(2019/03/23)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/03/23 (土) 00:00~23:59 UTC(運用79日目)に取得したログの簡易分析です。
探査系は0件でしたが、ThinkPHPの脆弱性を利用した攻撃が2件ありました。
概況
- 集計期間 : 2019/03/23 (土) 00:00~23:59 UTC
- 総アクセス件数 : 18 件(前日比 -12 件)
- ユニークIPアドレス件数 : 17 件 (前日比 -4 件)
- アクセス元の国数 : 10 カ国 (前日比 -2 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Brazil | 4 | 3. | 6 | -2 | - |
2. | Turkey | 3 | - | 0 | +3 | - |
3. | Russia | 3 | 11. | 1 | +2 | - |
4. | India | 2 | 4. | 1 | +1 | - |
5. | Vietnam | 1 | 10. | 1 | +-0 | - |
6. | Netherlands | 1 | - | 0 | +1 | - |
7. | Ukraine | 1 | - | 0 | +1 | - |
8. | Japan | 1 | 12. | 1 | +-0 | - |
9. | Canada | 1 | - | 0 | +1 | - |
10. | Hong Kong | 1 | - | 0 | +1 | - |
アクセス先
ThinkPHPの脆弱性を利用した攻撃とXdebugの探査
前述の通り、今日(2019/03/23)にThinkPHPの脆弱性を利用した攻撃を行ったIPアドレスから、昨日(2019/03/22)、Xdebugの探査が行われました。
また、2019/03/15に観測したThinkPHPの脆弱性を利用した攻撃とXdebugの探査も同一のIPアドレスから行われました。
いずれも、Xdebugの探査を行った後に、ThinkPHPの脆弱性を利用した攻撃が行われています。何か関係があるのでしょうか?
アクセス先一覧
アクセス先の一覧は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 15 | 1. | 13 | +2 |
2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 1 | - | 0 | +1 |
3. | ThinkPHPの脆弱性を利用した攻撃(参照) | GET /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP HTTP/1.1 | 1 | - | 0 | +1 |
4. | ThinkPHPの脆弱性を利用した攻撃(参照) | POST /index.php?s=captcha HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。