www.morihi-soc.net

セキュリティの話題を中心に取扱中

Archive for the ‘Glastopf’ Category

ハニーポット観察記録(19)

without comments

ただいま世間で騒がれている,Apache Struts の ClassLoader(CVE-2014-0094/CVE-2014-0113)の脆弱性を狙った攻撃を複数のハニーポットで検知しました.

Read the rest of this entry »

Written by morihisa

4月 26th, 2014 at 12:09 pm

ハニーポット観察記録(13)

without comments

Web ハニーポットの Glastopf で JBoss ワームの感染活動と考えられる通信を検知しました.

2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //jmx-console/HtmlAdaptor on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //manager/html/upload on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //zecmd/zecmd.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //CluJaNuL/cmd.jsp?cmd=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //wstats/wstats.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //idssvc/idssvc.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //iesvc/iesvc.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //bynazi/cmd.jsp?comment=whoami on x.x.x.x:80

※一部の情報を意図的に伏せています.

Read the rest of this entry »

Written by morihisa

11月 17th, 2013 at 9:55 pm

ハニーポット観察記録(10)

without comments

Glastopf という Web に特化したハニーポットのインストールについて説明します.

公式サイト

http://glastopf.org/

Read the rest of this entry »

Written by morihisa

10月 30th, 2013 at 7:24 pm

ハニーポット観察記録(6)

without comments

今回,使用しているハニーポットについて,軽く説明しようかと思います.なお今回,動かしているハニーポットは次の5種類です.

  • Amun →低対話型ハニーポット

  • Nepenthes →低対話型ハニーポット

  • Dionaea →低対話型ハニーポット(Nepenthes の後継)

  • Glastopf → Web ハニーポット

  • Kippo → SSH ハニーポット

 

Read the rest of this entry »

Written by morihisa

10月 14th, 2013 at 9:33 pm

ハニーポット観察記録(5)

without comments

Web ハニーポットの Glastopf で EPGrec を狙った脆弱性スキャンを検知しました.

 

2013-10-08 07:x:x,250 (glastopf.glastopf) 37.x.x.x requested GET /epgrec/systemSetting.php on x.x.x.x

2013-10-10 19:x:x,650 (glastopf.glastopf) 172.x.x.x requested GET /epgrec/LICENSE.txt on x.x.x.x

2013-10-10 19:x:x,933 (glastopf.glastopf) 172.x.x.x requested GET /epgrec/comments on x.x.x.x

2013-10-10 19:x:x,728 (glastopf.glastopf) 172.x.x.x requested GET /epgrec/style.css on x.x.x.x

2013-10-10 19:x:x,172 (glastopf.glastopf) 172.x.x.x requested GET /epgrec/main.php on x.x.x.x

2013-10-14 08:x:x,560 (glastopf.glastopf) 172.x.x.x requested GET /epgrec/LICENSE.txt on x.x.x.x

2013-10-14 08:x:x,164 (glastopf.glastopf) 172.x.x.x requested GET /epgrec/style.css on x.x.x.x

2013-10-14 08:x:x,483 (glastopf.glastopf) 172.x.x.x requested GET /epgrec/comments on x.x.x.x

 

※一部の情報を意図的に伏せています.

 

Read the rest of this entry »

Written by morihisa

10月 14th, 2013 at 8:10 pm

ハニーポット観察記録(4)

without comments

Web ハニーポットの Glastopf で phpMyAdmin を狙った攻撃を発見しました.

 

2013-10-12 18:xx:x,503 (glastopf.glastopf) 50.x.x.x requested GET /w00tw00t.at.blackhats.romanian.anti-sec:%29 on x.x.x.x

2013-10-12 18:xx:x,048 (glastopf.glastopf) 50.x.x.x requested GET /phpMyAdmin/scripts/setup.php on x.x.x.x

2013-10-12 18:xx:x,080 (glastopf.glastopf) 50.x.x.x requested GET /pma/scripts/setup.php on x.x.x.x

2013-10-12 18:xx:x,517 (glastopf.glastopf) 50.x.x.x requested GET /myadmin/scripts/setup.php on x.x.x.x

2013-10-12 18:xx:x,977 (glastopf.glastopf) 50.x.x.x requested GET /MyAdmin/scripts/setup.php on x.x.x.x


※一部の情報を意図的に伏せています.

Read the rest of this entry »

Written by morihisa

10月 12th, 2013 at 11:05 pm