>> 목록보이기
#공격로그
#스캔로그
#Apache Tomcat Default Manager
#/manager/html
#w00tw00t
#DFind
#A5-Security Misconfiguration
오늘의 웹서버 공격로그 (2016년 12월 3일)
PHP 기반 MySQL DB 관리기인 PhpMyAdmin 탐색, nmap 스캔,
Apache Tomcat Default Manager인 /manager/html 탐색, DFind의 w00tw00t 스캔 등이 보인다.
27.199.206.177 - - [03/Dec/2016:03:12:07 +0900] "GET /phpmyadmin/index.php HTTP/1.1" 404 484 "http://122.32.19.138:8080/phpmyadmin/index.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" 27.199.135.198 - - [03/Dec/2016:07:32:49 +0900] "GET /phpmyadmin/index.php HTTP/1.1" 404 482 "http://122.32.19.138/phpmyadmin/index.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
접속자 IP주소: 27.199.206.177 (중국 산둥성)
접속자 IP주소: 27.199.135.198 (중국 산둥성)
PHP 기반 MySQL DB 관리기인 PhpMyAdmin이 존재하는 지 스캔한 로그이다. 서버응답은 404.
139.162.45.239 - - [03/Dec/2016:05:31:29 +0900] "HEAD / HTTP/1.1" 200 308 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)"
접속자 IP주소: 139.162.45.239 (싱가포르)
Nmap이 80포트를 스캔한 로그이다. 서버응답은 200.
115.236.92.99 - - [03/Dec/2016:05:50:09 +0900] "GET /manager/html HTTP/1.1" 404 420 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)" 115.236.92.99 - - [03/Dec/2016:05:52:25 +0900] "GET /manager/html HTTP/1.1" 404 420 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)" 115.236.92.99 - - [03/Dec/2016:05:52:56 +0900] "GET /manager/html HTTP/1.1" 404 420 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)" 115.236.92.99 - - [03/Dec/2016:06:05:03 +0900] "GET /manager/html HTTP/1.1" 404 420 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)"
접속자 IP주소: 115.236.92.99 (중국 저장성)
Apache Tomcat Default Manager인
/manager/html 경로에 대한 탐색은 자주 보인다.
139.162.45.31 - - [03/Dec/2016:06:40:19 +0900] "" 400 0 "-" "-" 188.165.226.200 - - [03/Dec/2016:08:17:57 +0900] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 0 "-" "-" 222.186.56.220 - - [03/Dec/2016:11:43:15 +0900] "GET /script HTTP/1.1" 404 470 "-" "python-requests/2.7.0 CPython/2.7.9 Windows/2003Server" 128.232.110.28 - - [03/Dec/2016:21:07:04 +0900] "GET / HTTP/1.1" 200 7374 "-" "Mozilla/5.0 zgrab/0.x"
접속자 IP주소: 139.162.45.31 (싱가포르)
접속자 IP주소: 188.165.226.200 (프랑스 Nord-Pas-de-Calais-Picardie)
접속자 IP주소: 222.186.56.220 (중국 장쑤성)
접속자 IP주소: 128.232.110.28 (영국 캠브리지)
GET /w00tw00t.at.ISC.SANS.DFind:)는
2005년에도 - https://isc.sans.edu/diary/w00tw00t/900 - 관찰된 DFind라는 오래된 취약점 포트스캐너의 접속 흔적이다.
DFind에 대해서 간단하게 정리한
웹록 분석 문서를 참조하기 바란다.
zgrab도 TLS 관련 스캐너라고 한다.
[처음 작성한 날: 2016.12.04] [마지막으로 고친 날: 2016.12.05]
< 이전 글 : 오늘의 웹서버 공격 로그, SOAP 원격코드실행, D-Link 명령어 삽입, muieblackcat (2016.12.05)
> 다음 글 : 기억하기 쉽고 안전한 비밀번호 만들기 (2016.12.03)
이 저작물은 크리에이티브
커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문