Nickセキュリティログ

ハニーポット、バグバウンティ、CTFなどなどセキュリティ関係のことを備忘録がてら書いていきます

2019年3月24日 BW-pot観察まとめ

新たにgraneedさんのBW-potを運用し始めたのでブログにメモがてら書いていきます。

 

github.com

 

1.URIアクセスランキング

f:id:NickShadows:20190325220611p:plain

久々にWordPressへのアクセスが大量にありました。

昨日、自分もアクセスしてみたのでアクセス元IPアドレスランキングに自分が入ってます・・・

 

 

2.アクセス数分析(直近一週間)

f:id:NickShadows:20190325220831p:plain

 

日毎に流行りが違うのは面白いですね。

 

 

3.ログ内容分析

uri 

 /wp-login.php

request body

 log=&pwd=@admin&wp-submit=Log In&redirect_to=http://xxx.xxx.xxx.xxx/wp-admin/&testcookie=1

 

uri

 /xmlrpc.php

request body

 <?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value><array><data><value><string>60</string></value><value><string></string></value></data></array></value></data></array></value></member></struct></value></data></array></value></param></params></methodCall>

 

ってのがメインできてました。調査ですかね?

 

XMLはきれいにしたらこんな感じでした。

<methodCall>
<methodName>system.multicall</methodName>
<params>
<param>
<value>
<array>
<data>
<value>
<struct>
<member>
<name>methodName</name>
<value>
<string>wp.getUsersBlogs</string>
</value>
</member>
<member>
<name>params</name>
<value>
<array>
<data>
<value>
<array>
<data>
<value>
<string>60</string>
</value>
<value>
<string/>
</value>
</data>
</array>
</value>
</data>
</array>
</value>
</member>
</struct>
</value>
</data>
</array>
</value>
</param>
</params>
</methodCall>

 

調べたらどちらもパスワードのブルートフォース攻撃ですね。

tomcat、phpmyadminときてwordpressがブルートフォース攻撃されただけでした。

本日も調査のみで攻撃はありませんでした。

 

 

4.まとめ

各種調査が来ているので、そろそろ目星つけられて攻撃されそうですね。