honey-pot-report.hatenablog.com
先週のレポートでアクセスが多かったipアドレスを調べます。
ipアドレスは31.45.240.114です。
2001アクセスありました。
このipアドレスを調べていきたいと思います。
ログ分析
ログの全ては割愛しますが、このipアドレスからのアクセスは全く同じアクセスの仕方によるものでした。
"GET /manager/html HTTP/1.1"
のリクエストで断続的にアクセスを仕掛けていました。
不正ログインを試みていますね。
また、managerに対して行なっていることから、管理者ページへのアクセスをしようとしていますね。
base64でデコードしてみると、下記結果となりました。
GET /manager/html HTTP/1.1
Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, */*
Accept-Language: en-us
User-Agent: Mozilla/5.0 Gecko/20100101
Accept-Encoding: gzip, deflate
Host: XXX.XXX.XXX.XXX
Connection: Keep-Alive
Authorization: Basic bWFzdGVyOnVzZXI=
Accept欄をみるとさまざまな画像形式やらxml、アプリケーションが表示されています。
x-shockwave-flashは2019年にサポートが切れていますね。
サポート切れの脆弱性なども狙っているのでしょうか。
User-Agent欄はGecko/20100101と、古いですね。
次に、ipアドレスを知れべてみます。
ipアドレスはクロアチアから
下記サイトからipアドレスがどこからのアクセスか調べます。
inetnum: 31.45.240.112 - 31.45.240.115
netname: ALFATEC_GROUP
descr: Alfatec Group d.o.o.
descr: Tuskanova 37
descr: 10000 Zagreb country: HR → (クロアチア)
admin-c: MK23531-RIPE
tech-c: MK23531-RIPE
status: ASSIGNED PA
mnt-by: AS12810-MNT
created: 2017-05-25T14:07:23Z
last-modified: 2020-06-04T14:35:13Z
source: RIPE # Filtered
person: Marko Kornfeld
address: Alfatec Group d.o.o.
address: Tuskanova 37
address: Zagreb
address: Croatia phone: +38598254935
nic-hdl: MK23531-RIPE
mnt-by: AS12810-MNT
created: 2020-06-04T14:33:53Z
last-modified: 2020-06-04T14:33:53Z
source: RIPE# Filtered % Information related to '31.45.128.0/17 (マスク範囲)AS12810'
route: 31.45.128.0/17 (マスク範囲)
descr: Vipnet origin: AS12810
mnt-by: AS12810-MNT
created: 2011-03-11T10:14:06Z
last-modified: 2011-03-11T10:14:06Z
source: RIPE
クロアチアのアルファテックグループからのアクセスのようです。
名前も一応表記されていますね。
今回の攻撃は管理者サイトへの侵入を試みたアクセスと考えられるでしょう。
ハニーポット参考書籍