僕のハニーポットが捕まえた本日のWebShell調査アクセス(動作確認)
最近メモリ不足で停止していたハニーポットを復旧させたので、動作確認を含めログを見てみました。
復旧の際の記事はこちら。
あいかわらず、ほとんどがWebShell調査用のアクセスで目新しいものはないのです。
2018/10/8(月)は全部で50件のWebShell調査アクセスがありました。 下記はアクセス先のファイルです。
2018-10-08 20:24:41 /ppx.php 2018-10-08 20:24:41 /1.php 2018-10-08 20:24:41 /confg.php 2018-10-08 20:24:41 /conf1g.php 2018-10-08 20:24:41 /ver.php 2018-10-08 20:24:41 /hack.php 2018-10-08 20:24:41 /qa.php 2018-10-08 20:24:41 /Ss.php 2018-10-08 20:24:41 /xxx.php 2018-10-08 20:24:42 /92.php 2018-10-08 20:24:43 /z.php 2018-10-08 20:24:43 /x.php 2018-10-08 20:24:43 /nuoxi.php 2018-10-08 20:24:43 /godkey.php 2018-10-08 20:24:44 /okokok.php 2018-10-08 20:24:44 /erwa.php 2018-10-08 20:24:44 /pma.php 2018-10-08 20:24:44 /ruyi.php 2018-10-08 20:24:44 /51314.php 2018-10-08 20:24:44 /5201314.php 2018-10-08 20:24:44 /fusheng.php 2018-10-08 20:24:44 /general.php 2018-10-08 20:24:44 /repeat.php 2018-10-08 20:24:44 /ldw.php 2018-10-08 20:24:44 /api.php 2018-10-08 20:24:45 /s1.php 2018-10-08 20:24:45 /xiaodai.php 2018-10-08 20:24:45 /hello.php 2018-10-08 20:24:45 /xp.php 2018-10-08 20:24:45 /1.php 2018-10-08 20:24:45 /2.php 2018-10-08 20:24:45 /p.php 2018-10-08 20:24:45 /1.php 2018-10-08 20:24:45 /a.php 2018-10-08 20:24:45 /m.php 2018-10-08 20:24:47 /conf.php 2018-10-08 20:24:47 /123.php 2018-10-08 20:24:47 /HX.php 2018-10-08 20:24:47 /diy.php 2018-10-08 20:24:47 /666.php 2018-10-08 20:24:48 /777.php 2018-10-08 20:24:48 /qwq.php 2018-10-08 20:24:48 /.php 2018-10-08 20:24:48 /xiaoma.php 2018-10-08 20:24:48 /xiaomae.php 2018-10-08 20:24:48 /xiaomar.php 2018-10-08 20:24:48 /qq.php 2018-10-08 20:24:48 /data.php 2018-10-08 20:24:48 /log.php 2018-10-08 20:24:48 /fack.php
POSTリクエストのBODY部分はだいたい下記のようなものが多いです。
xiaodai=die(md5(Ch3ck1ng));
今日は動作確認でした。