Nickセキュリティログ

ハニーポット、バグバウンティ、CTFなどなどセキュリティ関係のことを備忘録がてら書いていきます

2/17~2/23 wowhoneypot観察まとめ

 

【ジャンル別アクセス件数】

詳細 アクセス数
webアクセス 563
WebShell確認 542
phpmyadmin調査 164
vscode確認 125
プロキシ確認 64
tomcat確認 62
MySQL調査 33
thinkphp脆弱性攻撃 24
WordPress調査 18
linux用バックドア調査 15
Drupal調査 15
Jboss調査 15
情報取得確認 11
CGI調査 5
Web接続確認 5
tomcatファイルアップロード攻撃 4
Apache調査 4
Javaを使用した管理者奪取確認 4
web属性取得 3
cgiの脆弱性を利用した攻撃 2
Kubernetes調査 1
その他アクセス(詳細確認中) 1

 

【新規アクセス】

vscodeの確認がありましたが、tomcatへファイルアップロードするものがインパクト強かったです。

PUTでjspをアップロードしてましたが、jspの内容が見れました。

jspの内容は、ファイルを一時フォルダにダウンロードして実行するというものでした。

 

PUT /FxCodeShell.jsp/ HTTP/1.1

 

ヘッダ(うまくコピーできなかったので画像で載せます)

f:id:NickShadows:20190225105057p:plain

f:id:NickShadows:20190225105131p:plain

 

【先週とのアクセス件数比較】

アクセス数が多い順に5つ抜粋し、推移とアクセス数率を比較して分析します。

日経平均みたいな感じです。

メイン5つは以下で構成されています。

  1. WebShell確認
  2. phpmyadmin調査
  3. webアクセス
  4. MySQL調査
  5. tomcat確認

 

●トップ5アクセス数推移

 webshellの元気がいいくらいで、あとはそうでもないですね。

 

f:id:NickShadows:20190225130856p:plain

 

●アクセス数合計、トップ5アクセスアクセス合計推移

 2/18に大きく乖離がありますが、これはvscodeの確認によるアクセスが発生したためです。

 

f:id:NickShadows:20190225131347p:plain

 

【まとめ】

tomcatを狙った調査・攻撃が再度出てきたと感じました。

PUTの内容を初めて見ましたが、ガッツリjspが書かれていました。

Javaやっていてよかったなぁって初めて思いました。

 

また、今まで観測したことがないvscodeの調査が出てきました。

現状では2/18だけだが、アクセス数は100件を超えたため、この件数でアクセスが続くのであればトップ5の入れ替えが発生すると思います。

今のところ、トップ5はアクセス数合計とほぼ同じなため入れ替えようとは考えていません。