ログの中で最もアクセスが多いIPアドレスに注目してみます。
45.146.165.37が113件来てます。
他にも98件来ている奴もいましたが今回はこいつに絞ります。
1件だけですのでIPアドレスを調べるサイトで調べます。
リンク先に行くと下図のようにIPアドレスを入力して実行します。
結果
% This is the RIPE Database query service.
% The objects are in RPSL format. %
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '45.146.164.0 - 45.146.165.255'
% Abuse contact for '45.146.164.0 - 45.146.165.255' is 'abuse@hostway.ru' inetnum: 45.146.164.0 - 45.146.165.255
netname: RU-ITRESHENIYA country: RU → (ロシア連邦)
org: ORG-ITR1-RIPE
admin-c: ITR30-RIPE
tech-c: ITR30-RIPE
status: ASSIGNED PA
mnt-by: IP-RIPE
mnt-routes: MNT-SELECTEL
created: 2020-09-07T16:45:55Z
last-modified: 2021-10-05T19:15:10Z
source: RIPE organisation: ORG-ITR1-RIPE
org-name: IT Resheniya LLC
org-type: OTHER
address: ul. Novoselov, d. 8A, of. 692
address: 193079 Saint Petersburg
address: Russia
abuse-c: ITR30-RIPE
mnt-ref: IP-RIPE
mnt-by: IP-RIPE
created: 2021-10-05T19:08:37Z
last-modified: 2021-10-05T19:15:03Z
source: RIPE
# Filtered role: IT Resheniya LLC
address: ul. Novoselov, d. 8A, of. 692
address: 193079 Saint Petersburg
address: Russia
abuse-mailbox: abuse@hostway.ru
phone: +7 903 2712822
nic-hdl: ITR30-RIPE
mnt-by: IP-RIPE
created: 2021-10-05T19:08:38Z
last-modified: 2021-10-05T19:08:38Z
source: RIPE # Filtered
% Information related to '45.146.164.0/23 (マスク範囲)AS49505'
route: 45.146.164.0/23 (マスク範囲)
descr: HOSTWAY route object
origin: AS49505
mnt-by: MNT-SELECTEL
created: 2020-09-10T11:07:40Z
last-modified: 2020-09-29T15:38:32Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.102.2 (HEREFORD)
ロシアのIPアドレスのようですね。
RIPE Database query serviceからのようです。
クエリのサービスということでこのサービスを使ってクエリをなげこんできていることでしょうか。
ロシアというのがいかにも感がありますね。
今回はIPアドレスだけ調べたので、どこから来たのくらいの把握で終わります。
このIPアドレスのURLやインジェクションがあるのか調べるとより深掘りができそうですね。
それはまたの機会にします。
WoWHoneypotは下の書籍を参考にして作成、分析しています。