honeypotの簡易解析22日目

2019-04-22のアクセス数は4940件でした。

■送信元IPアドレスの数は 51件です。

■メソッドの一覧と件数は以下です。

method総数
GET4937
POST3
合計 結果4940

■アクセスパス一覧と件数は以下です。

pathmethod総数
/ GET46
/.git/configGET1
/.rarGET1
/.svn/entriesGET1
/.tar.gzGET1
/.zipGET1
/admin-scripts.aspGET1
/backup.rarGET1
/backup.tar.gzGET1
/backup.zipGET1
/bak.rarGET1
/bak.tar.gzGET1
/bak.zipGET1
/beifen.rarGET1
/beifen.tar.gzGET1
/beifen.zipGET1
/CVS/EntriesGET1
/data.rarGET1
/data.tar.gzGET1
/data.zipGET1
/databack.rarGET1
/databack.tar.gzGET1
/databack.zipGET1
/databak.rarGET1
/databak.tar.gzGET1
/databak.zipGET1
/db.rarGET1
/db.tar.gzGET1
/db.zipGET1
/db/scripts/setup.phpGET1
/dbadmin/scripts/setup.phpGET1
/flashxp.rarGET1
/flashxp.tar.gzGET1
/flashxp.zipGET1
/HNAP1/GET2
/htdocs.rarGET1
/htdocs.tar.gzGET1
/htdocs.zipGET1
/manager/htmlGET4770
/MyAdmin/scripts/setup.phpGET8
/mysql/scripts/setup.phpGET1
/mysqladmin/scripts/setup.phpGET1
/phpadmin/scripts/setup.phpGET1
/phpmy/scripts/setup.phpGET2
/phpMyAdmin-2.10.0/scripts/setup.phpGET1
/phpMyAdmin-2.11.1-all-languages/scripts/setup.phpGET1
/phpMyAdmin-2.5.5/scripts/setup.phpGET1
/phpmyadmin/config.user.inc.phpGET1
/phpMyAdmin/css/phpmyadmin.css.phpGET1
/phpMyAdmin/libraries/database_interface.lib.phpGET1
/phpMyAdmin/scripts/db___.init.phpGET2
/phpMyAdmin/scripts/setup.phpGET10
/phpMyAdmin/setup.phpGET4
/pma/scripts/setup.phpGET4
/pma2011/GET1
/pma2012/GET1
/public_html.rarGET1
/public_html.tar.gzGET1
/public_html.zipGET1
/public.rarGET1
/public.tar.gzGET1
/public.zipGET1
/root.rarGET1
/root.tar.gzGET1
/root.zipGET1
/scripts/setup.phpGET1
/scripts/setup.php/index.phpGET2
/setup.phpGET1
/sqladm/scripts/setup.phpGET1
/sqladmin/scripts/setup.phpGET1
/TP/public/index.phpGET2
/TP/public/index.php?s=captchaPOST2
/TP/public/index.php?s=index/\think\app/invokefunction&
function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
GET2
/users?page=&size=5POST1
/w00tw00t.at.blackhats.romanian.anti-sec:)GET5
/web.rarGET1
/web.tar.gzGET1
/web.zipGET1
/webroot.rarGET1
/webroot.tar.gzGET1
/webroot.zipGET1
/www.rarGET1
/www.tar.gzGET1
/www.zipGET1
/wwwroot.rarGET1
/wwwroot.tar.gzGET1
/wwwroot.zipGET1
http://110.249.212.46/testget?q=23333&port=80GET3
(空白)GET3

気になるlog

*.rar *.tar.gz *.zip が複数来ている。

Pathをみると、

"(空白)"  ”backup”  ”bak”  ”beifen”  ”data”  ”db”  
”flashxp”  ”htdocs”  ”public_html”  ”public”  ”root”  
”web”  ”webroot”  ”www”  ”wwwroot”

ファイルのダウンロードが目的だと思う。

試しにこれらのpathで検索かけると、設定不備のサイトがたくさんみつかった。

ちなみに、beifenが気になって調べたんだけど、

beifen → 倍奋(中国語) → 二重(日本語)

おそらくbackupの中国製英語?だと思う。