最近メモリ不足で停止していたハニーポットを復旧させたので、動作確認を含めログを見てみました。

復旧の際の記事はこちら。

saito.hatenadiary.com

あいかわらず、ほとんどがWebShell調査用のアクセスで目新しいものはないのです。

2018/10/8（月）は全部で50件のWebShell調査アクセスがありました。 下記はアクセス先のファイルです。

2018-10-08 20:24:41  /ppx.php
2018-10-08 20:24:41 /1.php
2018-10-08 20:24:41 /confg.php
2018-10-08 20:24:41 /conf1g.php
2018-10-08 20:24:41 /ver.php
2018-10-08 20:24:41 /hack.php
2018-10-08 20:24:41 /qa.php
2018-10-08 20:24:41 /Ss.php
2018-10-08 20:24:41 /xxx.php
2018-10-08 20:24:42 /92.php
2018-10-08 20:24:43 /z.php
2018-10-08 20:24:43 /x.php
2018-10-08 20:24:43 /nuoxi.php
2018-10-08 20:24:43 /godkey.php
2018-10-08 20:24:44 /okokok.php
2018-10-08 20:24:44 /erwa.php
2018-10-08 20:24:44 /pma.php
2018-10-08 20:24:44 /ruyi.php
2018-10-08 20:24:44 /51314.php
2018-10-08 20:24:44 /5201314.php
2018-10-08 20:24:44 /fusheng.php
2018-10-08 20:24:44 /general.php
2018-10-08 20:24:44 /repeat.php
2018-10-08 20:24:44 /ldw.php
2018-10-08 20:24:44 /api.php
2018-10-08 20:24:45 /s1.php
2018-10-08 20:24:45 /xiaodai.php
2018-10-08 20:24:45 /hello.php
2018-10-08 20:24:45 /xp.php
2018-10-08 20:24:45 /1.php
2018-10-08 20:24:45 /2.php
2018-10-08 20:24:45 /p.php
2018-10-08 20:24:45 /1.php
2018-10-08 20:24:45 /a.php
2018-10-08 20:24:45 /m.php
2018-10-08 20:24:47 /conf.php
2018-10-08 20:24:47 /123.php
2018-10-08 20:24:47 /HX.php
2018-10-08 20:24:47 /diy.php
2018-10-08 20:24:47 /666.php
2018-10-08 20:24:48 /777.php
2018-10-08 20:24:48 /qwq.php
2018-10-08 20:24:48 /.php
2018-10-08 20:24:48 /xiaoma.php
2018-10-08 20:24:48 /xiaomae.php
2018-10-08 20:24:48 /xiaomar.php
2018-10-08 20:24:48 /qq.php
2018-10-08 20:24:48 /data.php
2018-10-08 20:24:48 /log.php
2018-10-08 20:24:48 /fack.php

POSTリクエストのBODY部分はだいたい下記のようなものが多いです。

xiaodai=die(md5(Ch3ck1ng));

今日は動作確認でした。