集計期間
2020/5/9 〜 2020/5/13 (5日間)
捕捉状況は末尾に記載。
以下は集計期間で目立った通信。
■89.248.174.151によるphpMyAdminの探索活動
検知日数:
5/12〜5/13
User-Agent:
python-requests/2.9.1
Request URL:
GET /phpmyadmin/scripts/setup.php HTTP/1.1
GET /sqladm/scripts/setup.php HTTP/1.1
GET /sqladmin/scripts/setup.php HTTP/1.1
GET /phpmyadmin/scripts/db___.init.php HTTP/1.1
GET /phpMyAdmin/scripts/db___.init.php HTTP/1.1
GET /MyAdmin/scripts/setup.php HTTP/1.1
GET /database/scripts/setup.php HTTP/1.1
etc
検知数
5/12 : 11
5/13 : 14
■89.248.174.151によるApache Tomcatの探索活動
検知日数:
5/9〜5/13
User-Agent:
Python-urllib/2.7
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36
Request URL:
GET /is_test HTTP/1.1
GET /manager/html HTTP/1.1
検知数
5/9 : 10
5/10 : 12
5/11 : 10
5/12 : 11
5/13 : 14
常に検知数上位に位置している205.185.123.189による通信。
/manager/htmlと/is_testへのリクエストが常にセットできている。
/manager/htmlはApache Tomcatの探索活動であると思われるが、
/is_testはなんなのか、いまいちこれといった情報が見つからなかった。
User-Agentも
・/is_test宛ては「Python-urllib/2.7」
・/manager/html宛ては「Mozilla/5.0 〜」
といったところも固定されているようであった。
ちなみに、Metasploitでいえばmulti/http/tomcat_mgr_uploadにあたる攻撃だろうと考える。
(ExploitDB: https://www.exploit-db.com/exploits/31433)
こんなに毎日来るようであれば、擬似的なTomcatページを返して攻撃者がどういった行動をとるのか観察してみたいところである。
■捕捉状況
総検知数:643
日別
153 : 2020-05-10
142 : 2020-05-12
126 : 2020-05-09
126 : 2020-05-13
96 : 2020-05-11
送信元別 (上位20)
54 : 205.185.123.189
45 : 103.40.102.148
43 : 195.54.160.121
25 : 89.248.174.151
16 : 77.247.108.77
14 : 5.101.0.209
9 : 220.132.51.121
9 : 118.25.79.208
9 : 61.160.251.82
8 : 173.212.213.46
8 : 114.32.47.58
8 : 220.134.196.214
8 : 111.229.240.235
8 : 191.232.238.42
7 : 113.169.23.80
7 : 27.78.201.212
7 : 117.157.15.27
6 : 185.162.235.189
5 : 66.240.205.34
4 : 14.225.3.52
User-Agent別 (上位20)
57 : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
46 : Mozilla/5.0 zgrab/0.x
45 : Mozilla/3.0 (compatible; Indy Library)
27 : Python-urllib/2.7
26 : Mozilla/5.0 (Windows; U; Windows NT 6.0;en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6)
25 : python-requests/2.9.1
22 : Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
20 : Mozilla/5.0 (compatible; Nimbostratus-Bot/v1.3.2; hxxp://cloudsystemnetworks.com)
20 : Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
19 : Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
16 : python-requests/2.21.0
14 : Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
12 : Abcd
12 : Go-http-client/1.1
10 : Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
9 : masscan/1.0 (hxxps://github.com/robertdavidgraham/masscan)
8 : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36
7 : Mozilla/5.0
7 : XTC
6 : ZmEu
リクエストURI別 (上位20)
308 : /
76 : /manager/html
27 : /is_test
12 : /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
11 : /setup.cgi
9 : /hudson
9 : /solr/admin/info/system?wt=json
9 : /?a=fetch&content=
9 : /?XDEBUG_SESSION_START=phpstorm
9 : /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1]=HelloThinkPHP
9 : /api/jsonws/invoke
9 : /sess-bin/login_session.cgi
9 : /cgi-bin/mainfunction.cgi
8 : /TP/public/index.php
8 : /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1]=1
7 : /doLogin
7 : /TP/public/index.php?s=captcha
5 : ip.ws.126.net:443
4 : /logs
4 : /editConfig?returnUrl=/
■備忘録
やりたいこと
・Apache Tomcatの擬似ページレスポンス作れるか
・rorbots.txtも擬似的に返して、攻撃者が実際にアクセスするのか実験してみたい。
