홈페이지 취약점 분석 이야기 파일 지도 사진 깨알






>> 목록보이기
#공격로그 #스캔로그 #Apache Tomcat Default Manager #/manager/html #w00tw00t #DFind #A5-Security Misconfiguration

오늘의 웹서버 공격로그 (2016년 12월 3일)

PHP 기반 MySQL DB 관리기인 PhpMyAdmin 탐색, nmap 스캔, Apache Tomcat Default Manager인 /manager/html 탐색, DFind의 w00tw00t 스캔 등이 보인다.

27.199.206.177 - - [03/Dec/2016:03:12:07 +0900] "GET /phpmyadmin/index.php HTTP/1.1" 404 484 "http://122.32.19.138:8080/phpmyadmin/index.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
27.199.135.198 - - [03/Dec/2016:07:32:49 +0900] "GET /phpmyadmin/index.php HTTP/1.1" 404 482 "http://122.32.19.138/phpmyadmin/index.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"

접속자 IP주소: 27.199.206.177 (중국 산둥성)
접속자 IP주소: 27.199.135.198 (중국 산둥성)
PHP 기반 MySQL DB 관리기인 PhpMyAdmin이 존재하는 지 스캔한 로그이다. 서버응답은 404.

139.162.45.239 - - [03/Dec/2016:05:31:29 +0900] "HEAD / HTTP/1.1" 200 308 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)"

접속자 IP주소: 139.162.45.239 (싱가포르)
Nmap이 80포트를 스캔한 로그이다. 서버응답은 200.

115.236.92.99 - - [03/Dec/2016:05:50:09 +0900] "GET /manager/html HTTP/1.1" 404 420 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)"
115.236.92.99 - - [03/Dec/2016:05:52:25 +0900] "GET /manager/html HTTP/1.1" 404 420 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)"
115.236.92.99 - - [03/Dec/2016:05:52:56 +0900] "GET /manager/html HTTP/1.1" 404 420 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)"
115.236.92.99 - - [03/Dec/2016:06:05:03 +0900] "GET /manager/html HTTP/1.1" 404 420 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)"

접속자 IP주소: 115.236.92.99 (중국 저장성)
Apache Tomcat Default Manager인 /manager/html 경로에 대한 탐색은 자주 보인다.

139.162.45.31 - - [03/Dec/2016:06:40:19 +0900] "" 400 0 "-" "-"
188.165.226.200 - - [03/Dec/2016:08:17:57 +0900] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 0 "-" "-"
222.186.56.220 - - [03/Dec/2016:11:43:15 +0900] "GET /script HTTP/1.1" 404 470 "-" "python-requests/2.7.0 CPython/2.7.9 Windows/2003Server"
128.232.110.28 - - [03/Dec/2016:21:07:04 +0900] "GET / HTTP/1.1" 200 7374 "-" "Mozilla/5.0 zgrab/0.x"

접속자 IP주소: 139.162.45.31 (싱가포르)
접속자 IP주소: 188.165.226.200 (프랑스 Nord-Pas-de-Calais-Picardie)
접속자 IP주소: 222.186.56.220 (중국 장쑤성)
접속자 IP주소: 128.232.110.28 (영국 캠브리지)
GET /w00tw00t.at.ISC.SANS.DFind:)는 2005년에도 - https://isc.sans.edu/diary/w00tw00t/900 - 관찰된 DFind라는 오래된 취약점 포트스캐너의 접속 흔적이다. DFind에 대해서 간단하게 정리한 웹록 분석 문서를 참조하기 바란다.
zgrab도 TLS 관련 스캐너라고 한다.

[처음 작성한 날: 2016.12.04]    [마지막으로 고친 날: 2016.12.05] 


< 이전 글 : 오늘의 웹서버 공격 로그, SOAP 원격코드실행, D-Link 명령어 삽입, muieblackcat (2016.12.05)

> 다음 글 : 기억하기 쉽고 안전한 비밀번호 만들기 (2016.12.03)


크리에이티브 커먼즈 라이선스 이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문

.. -- -- | - .. .... | ... / .. .../ ... {] . .. .. .. ..| ...... .../ .../ .. ...... ... ... ] .. [ .../ ..../ ......./ .. ./// ../ ... .. ... .. -- -- | - .. .... | ... / .. .../ ... {] . .. .. .. ..| ...... .../ .../ .. ./// ../ ... .. ... ...| ..../ ./ ... / ..| ....| ........ / ... / .... ...... ... ... ] .. [ .../ ..../ ......./ .....| ..../ ./ ... / ..| ....| ........ / ... / .... ...| ..../ ./ ... / ..| ....| ........ / ... / .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .