cute_otter’s blog

ハニーポットの観察日記を付けています

ハニーポット観察日記(2019/03/23)

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/03/23 (土) 00:00~23:59 UTC(運用79日目)に取得したログの簡易分析です。

探査系は0件でしたが、ThinkPHPの脆弱性を利用した攻撃が2件ありました。

概況

  • 集計期間 : 2019/03/23 (土) 00:00~23:59 UTC
  • 総アクセス件数 : 18 件(前日比 -12 件)
    • トップページへのアクセス : 15 件
    • ThinkPHPの脆弱性を利用した攻撃 : 2 件
    • Tomcatの管理ページに対するログイン試行 : 1 件
  • ユニークIPアドレス件数 : 17 件 (前日比 -4 件)
  • アクセス元の国数 : 10 カ国 (前日比 -2 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. Brazil 4 3. 6 -2 -
2. Turkey 3 - 0 +3 -
3. Russia 3 11. 1 +2 -
4. India 2 4. 1 +1 -
5. Vietnam 1 10. 1 +-0 -
6. Netherlands 1 - 0 +1 -
7. Ukraine 1 - 0 +1 -
8. Japan 1 12. 1 +-0 -
9. Canada 1 - 0 +1 -
10. Hong Kong 1 - 0 +1 -

アクセス先

  • ThinkPHPの脆弱性を利用した攻撃を2件観測しました。初観測のパスへの攻撃が1件ありました。
    • 初めて観測したパスは以下の通りです。
      • /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP
    • これら2件の攻撃は同一のIPアドレスから行われました。また、2019/03/22に、このIPアドレスからXdebugの探査が行われました。
  • Tomcatの管理ページに対するログイン試行を1件観測しました。
    • 今回のアクセスを行ったIPアドレスから、2019/01/30にもTomcatの管理ページに対するログイン試行を1件観測しています。

ThinkPHPの脆弱性を利用した攻撃とXdebugの探査

前述の通り、今日(2019/03/23)にThinkPHPの脆弱性を利用した攻撃を行ったIPアドレスから、昨日(2019/03/22)、Xdebugの探査が行われました。
また、2019/03/15に観測したThinkPHPの脆弱性を利用した攻撃とXdebugの探査も同一のIPアドレスから行われました。
いずれも、Xdebugの探査を行った後に、ThinkPHPの脆弱性を利用した攻撃が行われています。何か関係があるのでしょうか?

アクセス先一覧

アクセス先の一覧は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 15 1. 13 +2
2. Tomcatの管理ページに対するログイン試行 GET /manager/html HTTP/1.1 1 - 0 +1
3. ThinkPHPの脆弱性を利用した攻撃(参照) GET /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP HTTP/1.1 1 - 0 +1
4. ThinkPHPの脆弱性を利用した攻撃(参照) POST /index.php?s=captcha HTTP/1.1 1 - 0 +1

WOWHoneypotで取得したログの簡易分析は以上です。