System Note
$ cat /proc/ai-disclosure
本記事の構成および論理分析にはAI(人工知能)を使用しています。情報の正確性は、システム管理者(UNIXユーザー)による手動検証済みです。
2026年4月度 セキュリティログ:複数管理環境における不正試行の観測と遮断
目次
Monthly Incident Report: March 2026 — managed environments
本ドキュメントは、検知された不正通信の客観的証拠および、それに基づく防御措置の記録である。
# --- Incident Log: 2026-04-30 ---
Target IP: 172.212.217.10
Status: Blacklisted (197 hits across multiple environments)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for wp_filemanager.php, wp-system.php, white.php,
temp.php, alpha.php
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:データセンター由来の自動化スキャンの可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙ったと考えられる。
複数の管理環境を横断して同系統のPHP名を反復する点が特徴。攻撃密度: Moderate
Target IP: 20.220.233.65
Status: Blacklisted (39 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp_filemanager.php, wp-system.php, white.php,
smtp.php, file2.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:クラウド環境を使った自動化スキャンの可能性が高い。既知のWebシェルや不正ファイルの残存確認を狙ったと考えられる。
短いPHP名とWordPress関連名を混ぜて試す点が特徴。攻撃密度: Low Activity
Target IP: 45.86.200.101
Status: Blacklisted (199 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for zwso.php, wp.php, wp-user.php, wp-l0gin.php, dyqvcfqv.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:データセンター由来の自動化スキャンの可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙ったと考えられる。
WordPress配下に不自然なPHP名を混ぜて広く試す点が特徴。攻撃密度: Moderate
Target IP: 45.86.200.108
Status: Blacklisted (241 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] probing for wp-json, bricks/v1/render_element, wp-includes/widgets,
wp-includes/style-engine, SimplePie paths
日本語補足:このIPは、WordPressの構成や機能を調べるための場所に何度もアクセスしていました。
備考:データセンター由来の自動化スキャンの可能性が高い。WordPressの構成や利用機能を把握し、次の攻撃対象を絞る意図と考えられる。REST APIと内部ディレクトリを広く列挙する点が特徴。攻撃密度: High Activity
Target IP: 45.86.200.51
Status: Blacklisted (241 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] probing for wp-json, bricks/v1/render_element, wp-includes/widgets,
wp-includes/style-engine, SimplePie paths
日本語補足:このIPは、WordPressの構成や機能を調べるための場所に何度もアクセスしていました。
備考:データセンター由来の自動化スキャンの可能性が高い。WordPressの構成や利用機能を把握し、
次の攻撃対象を絞る意図と考えられる。REST APIと内部ディレクトリを広く列挙する点が特徴。攻撃密度: High Activity
Target IP: 45.86.200.77
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for zwso.php, wso.php, xp.php, wp.php, wp-setup.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を非常に多く探していました。
備考:データセンター由来の自動化スキャンの可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙ったと
考えられる。短時間に大量の候補を反復する点が特徴。攻撃密度: Critical
Target IP: 45.86.200.88
Status: Blacklisted (290 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] probing for wp-json, bricks/v1/render_element, wp-includes/widgets,
wp-conflg.php, sitemaps.php
日本語補足:このIPは、WordPressの構成や機能を調べるための場所に何度もアクセスしていました。
備考:データセンター由来の自動化スキャンの可能性が高い。WordPressの構成や利用機能を把握し、弱い場所を探す意図と
考えられる。内部ディレクトリ列挙に設定偽装名を混ぜる点が特徴。攻撃密度: High Activity
Target IP: 45.86.200.96
Status: Blacklisted (434 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for zwso.php, wso.php, xp.php, wp-l0gin.php, wp-class.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:データセンター由来の自動化スキャンの可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙ったと
考えられる。WordPress配下に不自然なPHP名を混ぜて広く試す点が特徴。攻撃密度: High Activity
Target IP: 46.250.169.255
Status: Blacklisted (43 hits)
WHOIS Info: Unknown (Unresolved), NL, Unknown (Unresolved), Allocated to RIPE NCC
Comment: [Fingerprinting] requesting wp-login.php and WordPress asset files to inspect
site behavior
日本語補足:このIPは、WordPressのログイン画面や関連ファイルにアクセスして、動きを調べていました。
備考:自動化された挙動確認の可能性が高い。公開された資産ファイルやログイン導線から構成把握を狙ったと考えられる。
通常表示に近い取得を混ぜる点が特徴。攻撃密度: Low Activity
Target IP: 62.197.156.35
Status: Blacklisted (105 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Sri Lanka, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing for xmlrpc.php and administrator/index.php across multiple
environments
日本語補足:このIPは、複数の管理環境で、xmlrpc.php と administrator/index.php の場所を何度も調べていました。
備考:広域スキャンの可能性が高い。CMSの管理画面やXML-RPCの露出確認を狙ったと考えられる。複数の管理環境を横断して同じ候補を反復する点が特徴。攻撃密度: Moderate# --- Incident Log: 2026-04-29 ---
Target IP: 172.212.217.10
Status: Blacklisted (176 hits across multiple environments)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations
Comment: [Web Shell Probe] probing WordPress and PHP backdoor files such as wp_filemanager.php,
wp-system.php, white.php, temp.php, alpha.php
日本語補足:このIPは、WordPressやPHPの不正なファイルを探すアクセスを、複数の管理環境に対して176回行いました。
備考:広域アドレス帯からの探索であり、自動化されたスキャンの可能性が高い。既知のWebシェルや管理系PHPの有無を確認する意図と考えられる。複数の管理環境に分散している点も特徴。
攻撃密度: Moderate
Target IP: 192.210.193.248
Status: Blacklisted (77 hits across multiple environments)
WHOIS Info: HostPapa (HOSTP-7), US, net-abuse-global@hostpapa.com, Direct Allocation
Comment: [Fingerprinting] probing discovery and configuration endpoints such as sitemap.xml,
robots.txt, config.json, env.js, graphql
日本語補足:このIPは、設定や構成を調べるためのURLに、複数の管理環境へ77回アクセスしました。
備考:設定情報や公開構成の把握を狙う初期調査の可能性が高い。自動化ツールで応答差分を見て技術構成を絞り込む意図と
考えられる。少量でも複数の管理環境を横断している点が特徴。攻撃密度: Moderate
Target IP: 20.29.83.202
Status: Blacklisted (176 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing WordPress and PHP files such as wp-good.php, admin.php,
info.php, file.php, ioxi-o.php
日本語補足:このIPは、WordPressやPHPの不正なファイルを探すアクセスを176回行いました。
備考:クラウド環境を踏み台にした探索の可能性が高い。WordPress配下や汎用PHP名を広く試しており、設置済みバックドアや脆弱な配置ファイルを探す意図と考えられる。短時間にまとまった試行がある点が特徴。
攻撃密度: Moderate# --- Incident Log: 2026-04-28 ---
Target IP: 135.225.32.40
Status: Blacklisted (180 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for web shell filenames such as zoper1.php, wp_filemanager.php
日本語補足:このIPは、Webシェルのような不正なPHPファイルを探して何度もアクセスしました。
備考:複数の不正PHP名を広く試す動きであり、自動化された探索の可能性が高い。
侵入後に使える設置済みファイルを探していると考えられる。Low Activity
Target IP: 149.33.14.52
Status: Blacklisted (21 hits)
WHOIS Info: Cogent Communications, LLC (COGC), US, abuse@cogentco.com, Direct Allocation
Comment: [Auth Attack] accessing wp-login.php registration endpoint and related pages
日本語補足:このIPは、WordPressのログインや登録に関係するページへアクセスしました。
備考:認証まわりの入口を試す軽い調査であり、ボットによる事前確認の可能性がある。
アカウント作成や管理画面露出の確認が目的と考えられる。Low Activity
Target IP: 158.158.121.236
Status: Blacklisted (388 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC), AU,
search-apnic-not-arin@apnic.net, Early Registrations, Transferred to APNIC
Comment: [Web Shell Probe] probing for many PHP backdoor names such as wp.php, z.php, xenon1337.php
日本語補足:このIPは、多くのPHPバックドア名を使って、不正なファイルがあるか確認しました。
備考:多数の既知ファイル名を高速に試す典型的なスキャンであり、広域ボットの可能性が高い。
既に侵害された環境の再利用を狙っていると考えられる。High Activity
Target IP: 161.115.235.148
Status: Blacklisted (63 hits)
WHOIS Info: Server Mania Inc. (SM-1650), CA, support@servermania.com, Direct Allocation
Comment: [WordPress Recon] enumerating wp-json, plugin metadata, and upload paths
日本語補足:このIPは、WordPressの設定やプラグイン情報を調べるためのアクセスをしました。
備考:プラグイン構成や公開情報を集める偵察であり、後続攻撃の下調べの可能性が高い。
脆弱なプラグインや設定不備の特定が目的と考えられる。Moderate
Target IP: 172.212.183.249
Status: Blacklisted (297 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for common shell and admin PHP files such as alfa.php,
admin.php, 404.php
日本語補足:このIPは、よく使われる不正PHPファイルや管理用ファイルを探してアクセスしました。
備考:既知のシェル名と管理系パスを組み合わせた探索であり、自動攻撃基盤の可能性が高い。
侵入済みファイルの発見または再アクセスが目的と考えられる。High Activity
Target IP: 172.212.217.10
Status: Blacklisted (74 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for suspicious PHP files such as wp-system.php,
filebrowser.php, gecko-litespeed.php
日本語補足:このIPは、不正に使われやすいPHPファイルを探して何度もアクセスしました。
備考:バックドア候補名を順番に確認する挙動であり、既知パターンを使うボットの可能性が高い。
設置済みWebシェルの有無を調べていると考えられる。Moderate
Target IP: 209.38.84.143
Status: Blacklisted (13 hits)
WHOIS Info: DigitalOcean, LLC (DO-13), US, abuse@digitalocean.com, Direct Allocation
Comment: [WordPress Recon] scanning common WordPress install paths for install.php
日本語補足:このIPは、WordPressのインストール画面が残っていないか、複数の場所を調べました。
備考:設置ミスや残存インストーラを探す偵察であり、クラウド上の自動スキャンの可能性が高い。
初期設定不備の悪用準備と考えられる。Low Activity
Target IP: 62.197.156.35
Status: Blacklisted (105 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved),
Unknown (Unresolved)
Comment: [Broad Scan] scanning xmlrpc.php and administrator endpoints across multiple
common paths
日本語補足:このIPは、複数の管理環境で xmlrpc.php や administrator の場所を広く調べました。
備考:複数の管理環境に対して同じ探索を繰り返しており、横断的なスキャンの可能性が高い。
WordPressとJoomlaの入口をまとめて確認していると考えられる。Moderate# --- Incident Log: 2026-04-27 ---
Target IP: 103.153.183.69
Status: Blacklisted (67 hits)
WHOIS Info: SnTHostings.com, Unknown (Unresolved), Astonia Royale, Ambegaon Narhe Road,
Pune Maharashtra 411046, Unknown (Unresolved)
Comment: [Fingerprinting] probing for phpversion.php, debug.php, wp-config.php.bak,
laravel.log, server-status
日本語補足:このIPは、情報が見えるページや設定ファイルの場所を何度も調べていました。
備考:ホスティング環境を使った自動化スキャンである可能性が高い。設定情報や内部状態の取得を狙ったと考えられる。
バックアップ設定ファイル、診断ページ、ログ関連パスを横断して試す点が特徴。攻撃密度は Moderate。
Target IP: 146.190.80.154
Status: Blacklisted (22 hits)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [Web Shell Probe] probing upload and file manager paths such as kcfinder/upload.php,
filemanager/dialog.php, server/php/
日本語補足:このIPは、アップロード機能や不審な管理用ファイルの場所を何度も探していました。
備考:DigitalOcean上の自動化スキャンである可能性が高い。アップロード機能の悪用や侵害後の配置先確認を狙ったと
考えられる。ファイルマネージャー系とアップロード処理系の候補をまとめて試す点が特徴。攻撃密度は Low Activity。
Target IP: 18.231.138.176
Status: Blacklisted (170 hits)
WHOIS Info: Amazon (AWS), US, trustandsafety@support.aws.com, Direct Allocation
Comment: [Broad Scan] probing for .env and phpinfo paths such as www/.env, wp/.env,
wordpress/.env, webmail/phpinfo.php, vendor/.env
日本語補足:このIPは、公開されてはいけない設定ファイルや情報表示ファイルの場所を何度も探していました。
備考:AWS上の自動化スキャンである可能性が高い。設定漏えいや環境情報の取得を狙ったと考えられる。.env 系と
phpinfo 系の候補を広く反復する点が特徴。攻撃密度は Moderate。
Target IP: 185.213.174.27
Status: Blacklisted (40 hits)
WHOIS Info: NextGenWebs-NL, Unknown (Unresolved), Plaza Gerardo Salvador 1,
Oficina 17, Unknown (Unresolved)
Comment: [Fingerprinting] probing for settings.json, runtime-config.js, graphql,
config.json, api/v1/settings
日本語補足:このIPは、設定情報やAPIの入口になりそうな場所を何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。構成情報や公開APIの把握を狙ったと考えられる。
設定JSON、設定JS、API関連パスをまとめて試す点が特徴。攻撃密度は Low Activity。
Target IP: 20.151.116.9
Status: Blacklisted (320 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for css.php, cong.php, byp.php, alfa.php, zwso.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後ファイルの残存確認を狙ったと
考えられる。短いPHP名を大量に列挙して反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.9.69.97
Status: Blacklisted (316 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for css.php, cong.php, byp.php, alfa.php, zwso.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後ファイルの残存確認を狙ったと
考えられる。短いPHP名を大量に列挙して反復する点が特徴。攻撃密度は High Activity。
Target IP: 88.151.34.253
Status: Blacklisted (52 hits)
WHOIS Info: Unknown Org, Unknown (Unresolved), Plaza Gerardo Salvador 1, Unknown (Unresolved)
Comment: [WordPress Recon] scanning WordPress assets and index files such as wp-includes,
main.min.js, sitemap.xml, robots.txt, public/.env
日本語補足:このIPは、WordPress関連のファイルやサイト構成が分かる場所を何度も調べていました。
備考:広域スキャンや情報収集目的のアクセスである可能性が高い。WordPressの設置確認や構成把握を狙ったと考えられる。
静的アセットとサイトマップ、設定露出候補を組み合わせて試す点が特徴。攻撃密度は Moderate。# --- Incident Log: 2026-04-26 ---
Target IP: 20.250.14.166
Status: Blacklisted (93 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp-post-data.php, wp_filemanager.php,
test_phpinfo2.php, stat.php, setup.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。WordPress関連パスと短いPHP名を組み合わせる点が特徴。攻撃密度は Moderate。
Target IP: 40.89.132.50
Status: Blacklisted (93 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp-post-data.php, wp_filemanager.php,
test_phpinfo2.php, stat.php, setup.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。WordPress関連パスと短いPHP名を組み合わせる点が特徴。攻撃密度は Moderate。
Target IP: 52.63.165.224
Status: Blacklisted (170 hits)
WHOIS Info: Amazon (AWS), US, trustandsafety@support.aws.com, Direct Allocation
Comment: [Broad Scan] probing for .env and phpinfo paths such as www/.env, wp/.env,
wordpress/.env, webmail/phpinfo.php, vendor/.env
日本語補足:このIPは、公開されてはいけない設定ファイルや情報表示ファイルの場所を何度も探していました。
備考:AWS上の自動化スキャンである可能性が高い。設定漏えいや環境情報の取得を狙ったと考えられる。.env 系と
phpinfo 系のパスを広く試す点が特徴。攻撃密度は Moderate。
Target IP: 74.248.33.118
Status: Blacklisted (297 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-content/, wp-content/admin.php, wp-load.php, ms-edit.php, dx.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの設置確認や不審なPHPファイルの残存確認を
狙ったと考えられる。WordPress関連パスと短いPHP名を広く反復する点が特徴。攻撃密度は High Activity。# --- Incident Log: 2026-04-25 ---
Target IP: 158.173.36.240
Status: Blacklisted (223 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early
Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for wp-conflg.php, core.php, xleet.php, wso.php, wp.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:データセンター経由の自動化スキャンである可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙ったと
考えられる。WordPress配下に不自然なPHP名を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 20.240.45.42
Status: Blacklisted (314 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fe5.php, dx.php, av.php, wp-load.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。
短いファイル名とWordPress関連名を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 20.251.115.10
Status: Blacklisted (324 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fi.php, fe5.php, dx.php, wp-xme.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。短いPHP名を広く列挙して
試す点が特徴。攻撃密度は High Activity。
Target IP: 20.251.186.249
Status: Blacklisted (182 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for zoper1.php, xper1.php, ws78.php, wp-the.php,
wp_filemanager.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいWebシェルや不審プラグイン経由の入口確認を狙ったと考えられる。
短いPHP名とWordPress関連名を組み合わせて試す点が特徴。攻撃密度は Moderate。
Target IP: 4.225.217.178
Status: Blacklisted (319 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fi.php, fe5.php, dx.php, wp-xme.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。短いPHP名を広く列挙して試す
点が特徴。攻撃密度は High Activity。
Target IP: 4.232.190.225
Status: Blacklisted (93 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp-post-data.php, wp-plugins.php, wp_filemanager.php,
phpversion.php, litespeed.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。診断用や侵害後に残されやすいPHPファイルの露出確認を狙ったと
考えられる。情報表示系ファイル名とWordPress関連名を混ぜて試す点が特徴。攻撃密度は Moderate。
Target IP: 4.235.80.255
Status: Blacklisted (587 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, dx.php, wp.php, wp-temp.php,
wp-load.php across multiple environments
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
複数の管理環境を横断して侵害後ファイルや改ざん用ファイルの残存確認を狙ったと考えられる。同じ候補を横断的に
反復する点が特徴。攻撃密度は High Activity。
Target IP: 45.91.22.42
Status: Blacklisted (231 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for wp-conflg.php, core.php, xleet.php, wso.php, wp.php
日本語補足:このIPは、不審なPHPファイルやWordPress関連ファイルの場所を何度も探していました。
備考:データセンター経由の自動化スキャンである可能性が高い。既知のWebシェルや改ざんファイルの残存確認を狙った
と考えられる。WordPress配下に不自然なPHP名を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 51.103.42.147
Status: Blacklisted (292 hits)
WHOIS Info: Microsoft Corporation (Azure), Unknown (Unresolved), Unknown (Unresolved),
Unknown (Unresolved)
Comment: [Web Shell Probe] probing for xxx.php, zoper1.php, zogy1.php, ws80.php, wpconf.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:クラウド経由の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや設定偽装ファイルの残存確認を狙ったと考えられる。
短いPHP名とWordPress風の名称を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 62.197.156.35
Status: Blacklisted (84 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved),
Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php and administrator/index.php across multiple
environments
日本語補足:このIPは、複数の管理環境で、xmlrpc.php と administrator/index.php の場所を何度も調べていました。
備考:広域スキャンやボットネット経由のアクセスである可能性が高い。複数の管理環境を横断してCMSの管理画面や
XML-RPCの露出確認を狙ったと考えられる。WordPress系と管理画面系の候補をまとめて試す点が特徴。攻撃密度は
Moderate。
Target IP: 74.234.74.247
Status: Blacklisted (318 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fi.php, fe5.php, dx.php, wp-xme.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。短いPHP名を広く列挙して試す
点が特徴。攻撃密度は High Activity。
Target IP: 74.248.133.46
Status: Blacklisted (592 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, dx.php, wp.php, wp-temp.php,
wp-load.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。同系統の候補を高頻度で反復
する点が特徴。攻撃密度は High Activity。
Target IP: 89.169.170.131
Status: Blacklisted (48 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved),
Unknown (Unresolved)
Comment: [Fingerprinting] probing for .env, secrets.env, phpinfo.php, phpinfo, info.php
日本語補足:このIPは、設定ファイルや情報表示ファイルの場所を何度も調べていました。
備考:広域スキャンや情報収集目的のアクセスである可能性が高い。環境変数ファイルや診断ページの露出確認を狙ったと
考えられる。設定情報の取得につながる候補を広く試す点が特徴。攻撃密度は Low Activity。
# --- Incident Log: 2026-04-24 ---
Target IP: 163.5.241.72
Status: Blacklisted (218 hits)
WHOIS Info: Early registration addresses, AU, Unknown (Unresolved), Early Registrations
/ Maintained by APNIC
Comment: [Web Shell Probe] probing for core.php, xleet.php, wso.php, wp.php, about.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:海外ネットワーク経由の自動化スキャンである可能性が高い。
侵害後に置かれやすいWebシェルや不審なPHPファイルの残存確認を狙ったと考えられる。
WordPress配下と短いPHP名を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 170.64.224.109
Status: Blacklisted (44 hits across multiple environments)
WHOIS Info: DigitalOcean, LLC, US, Abuse Contact, Direct Allocation
Comment: [Fingerprinting] requesting .git/config to check exposed repository data
across multiple environments
日本語補足:このIPは、複数の管理環境で、.git/config の場所を調べていました。
備考:DigitalOcean上の自動化スキャンである可能性が高い。
設定情報やリポジトリ情報の露出確認を狙ったと考えられる。.git/config だけを反復して試す点が特徴。
攻撃密度は Low Activity。
Target IP: 172.213.241.91
Status: Blacklisted (33 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, Abuse Contact, Early
Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for x.php, wp-post-data.php, wp_filemanager.php,
system_log.php, wp-login.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:データセンター経由の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を
狙ったと考えられる。短いPHP名とWordPress関連ファイルをまとめて試す点が特徴。攻撃密度は Low Activity。
Target IP: 20.100.170.189
Status: Blacklisted (33 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for x.php, wp-post-data.php, wp_filemanager.php,
system_log.php, wp-login.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を狙ったと考えられる。
短いPHP名とWordPress関連ファイルをまとめて試す点が特徴。攻撃密度は Low Activity。
Target IP: 20.203.250.186
Status: Blacklisted (67 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for x.php, wp-post-data.php, wp_filemanager.php,
system_log.php, wp-login.php across multiple environments
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
複数の管理環境を横断して既知のWebシェルや侵害後ファイルの残存確認を狙ったと考えられる。
同じ候補パスを各環境へ反復する点が特徴。攻撃密度は Moderate。
Target IP: 20.251.39.123
Status: Blacklisted (310 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fe5.php, dx.php, admin.php, wp-load.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいWebシェルや改ざん用ファイルの残存確認を狙ったと考えられる。
短いPHP名とWordPress関連ファイルを大量に組み合わせて試す点が特徴。攻撃密度は High Activity。
Target IP: 4.210.104.149
Status: Blacklisted (33 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for x.php, wp-post-data.php, wp_filemanager.php,
system_log.php, wp-login.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を狙ったと考えられる。
短いPHP名とWordPress関連ファイルをまとめて試す点が特徴。攻撃密度は Low Activity。
Target IP: 62.197.156.35
Status: Blacklisted (63 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php and administrator/index.php across multiple environments
日本語補足:このIPは、複数の管理環境で、xmlrpc.php と administrator/index.php の場所を何度も調べていました。
備考:広域スキャンやボットネット経由のアクセスである可能性が高い。複数の管理環境を横断してCMSの管理画面やXML-
RPCの露出確認を狙ったと考えられる。WordPress系と管理画面系の候補をまとめて試す点が特徴。攻撃密度は Moderate。# --- Incident Log: 2026-04-23 ---
Target IP: 154.92.16.88
Status: Blacklisted (53 hits)
WHOIS Info: Yisu Cloud Ltd, Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] scanning multiple web application paths and upload endpoints
日本語補足:このIPは、いろいろなWebアプリの場所やアップロード機能を広く試していました。53回のアクセスがあり、
ブラックリストに入っています。
備考:クラウド系の送信元を使った広域スキャンの可能性が高い。複数の種類のURLを短時間に試しており、
脆弱な機能や設定不備を探していたと考えられる。活動量はModerate。
Target IP: 4.211.203.64
Status: Blacklisted (204 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ws80.php, doc.php and similar PHP files
日本語補足:このIPは、PHPファイルを探す動きをしていました。204回のアクセスがあり、ブラックリストに入っています。
備考:Azure上の送信元を使った自動化スキャンの可能性が高い。似た名前のPHPファイルを連続で試しており、
設置済みの不正ファイルや侵入済み環境を探していたと考えられる。活動量はHigh Activity。
Target IP: 4.235.1.40
Status: Blacklisted (206 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ws80.php, doc.php and similar PHP files
日本語補足:このIPは、PHPファイルを探す動きをしていました。206回のアクセスがあり、ブラックリストに入っています。
備考:Azure上の送信元を使った自動化スキャンの可能性が高い。似た名前のPHPファイルを連続で試しており、
設置済みの不正ファイルや侵入済み環境を探していたと考えられる。活動量はHigh Activity。# --- Incident Log: 2026-04-22 ---
Target IP: 170.64.224.109
Status: Blacklisted (16 hits across multiple environments)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [Fingerprinting] probing for .git configuration files
日本語補足:このIPは、複数の管理環境で.gitの設定ファイルを探すアクセスをしていました。合計16回のアクセスがあり、
ブラックリストに入りました。
備考:クラウド環境を踏み台にした広域スキャンの可能性が高いです。内部設定の露出確認や情報収集が目的と考えられます。
少数リクエストですが複数の管理環境にまたがる点が特徴です。Low Activity。
Target IP: 185.192.71.189
Status: Blacklisted (497 hits)
WHOIS Info: Express-Equinix-London, Unknown (Unresolved), Express-Equinix-London, Unknown Type
Comment: [WordPress Recon] enumerating WordPress REST paths and core directories
日本語補足:このIPは、WordPressの機能やフォルダを調べるアクセスをしていました。合計497回のアクセスがあり、
ブラックリストに入りました。
備考:自動化された探索の可能性が高いです。WordPressの構成確認と利用可能な入口の特定が目的と考えられます。
複数の典型的なWordPress関連パスを連続で確認している点が特徴です。High Activity。
Target IP: 185.92.25.72
Status: Blacklisted (241 hits)
WHOIS Info: Express-Equinix-London, Unknown (Unresolved), Express-Equinix-London, Unknown Type
Comment: [WordPress Recon] scanning WordPress API endpoints and include paths
日本語補足:このIPは、WordPressのAPIや関連フォルダを調べるアクセスをしていました。合計241回のアクセスがあり、
ブラックリストに入りました。
備考:自動化されたWordPress調査の可能性が高いです。公開された機能や弱い場所の有無を確認する意図と考えられます。
探索先がWordPress関連に集中している点が特徴です。High Activity。
Target IP: 4.204.225.251
Status: Blacklisted (280 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp-mail.php, rip.php, ioxi-o.php, ws83.php, x.php
日本語補足:このIPは、複数の管理環境で不正なPHPファイルを探すアクセスをしていました。合計280回のアクセスがあり、
ブラックリストに入りました。
備考:クラウド環境を使ったボット的な探索の可能性が高いです。
既知のWebShellや不正設置ファイルの有無を確認する意図と考えられます。複数の管理環境に同じ並びでアクセスしている
点が特徴です。High Activity。
Target IP: 91.230.225.145
Status: Blacklisted (793 hits)
WHOIS Info: VPN Consumer Network Services, Unknown (Unresolved), Moezel 3, Unknown Type
Comment: [Web Shell Probe] probing for wso.php, ws.php, wp.php, x.php, xl2023.php
日本語補足:このIPは、不正なPHPファイルを探すアクセスをしていました。合計793回のアクセスがあり、
ブラックリストに入りました。
備考:匿名化された接続元からの探索の可能性が高いです。設置済みWeb Shellの発見や侵入後の再利用が目的と考えられます。
短い名前のPHPファイルを大量に試している点が特徴です。High Activity。# --- Incident Log: 2026-04-21 ---
Target IP: 130.131.243.198
Status: Blacklisted (54 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such as xmlrpc.php, wp-login.php,
wp-trackback.php, ws.php, wp-conf.php
日本語補足:このIPは、WordPressの場所や関連ファイルを何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの設置状況や管理導線の露出確認を狙ったと
考えられる。複数の関連パスを広く試す点が特徴。攻撃密度は Moderate。
Target IP: 173.239.216.23
Status: Blacklisted (1000 hits)
WHOIS Info: LogicWeb Inc. (LOGIC-25), US, abuse@logicweb.com, Direct Allocation
Comment: [Web Shell Probe] probing for xoot.php, xl2023.php, wsa.php, ws.php, wp-user.php
日本語補足:このIPは、不審なPHPファイルの場所を大量に探していました。
備考:ホスティング基盤を使った自動化アクセスである可能性が高い。
侵害後に置かれやすいWebシェルや不審ファイルの残存確認を狙ったと考えられる。短いPHP名を大量に列挙して試す点が特徴。
攻撃密度は Critical。
Target IP: 20.166.56.163
Status: Blacklisted (335 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ms-edit.php, fe5.php, dx.php, av.php, wp-update.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。
侵害後に置かれやすいPHPファイルや改ざん用ファイルの残存確認を狙ったと考えられる。
短いファイル名とWordPress関連名を混ぜて試す点が特徴。攻撃密度は High Activity。
Target IP: 209.38.89.62
Status: Blacklisted (13 hits)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [WordPress Recon] scanning wp-admin/install.php under common subdirectories
日本語補足:このIPは、WordPressの初期設定ページの場所を調べていました。
備考:クラウド上の自動化スキャンである可能性が高い。未初期化のWordPressや放置された設置先の発見を狙ったと
考えられる。共通ディレクトリ名を順に試す点が特徴。攻撃密度は Low Activity。
Target IP: 4.204.225.251
Status: Blacklisted (106 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths such as xmlrpc.php, wp-login.php,
wp-trackback.php, ws.php, wp-conf.php across multiple environments
日本語補足:このIPは、複数の管理環境で、WordPressの場所や関連ファイルを何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。
複数の管理環境を横断してWordPressの設置状況や管理導線の露出確認を狙ったと考えられる。
同系統のパスを繰り返し試す点が特徴。攻撃密度は Moderate。
Target IP: 40.89.157.86
Status: Blacklisted (202 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ws80.php, doc.php, zxcs.php, zogy1.php, xper1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を狙ったと
考えられる。連番に近い名前や短いPHP名を広く試す点が特徴。攻撃密度は High Activity。
Target IP: 45.86.202.32
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for wso.php, ws.php, wsa.php, xp.php, wp-user.php
日本語補足:このIPは、不審なPHPファイルの場所を大量に探していました。
備考:データセンター経由の自動化スキャンである可能性が高い。
既知のWebシェルや侵害済み環境に残りやすいPHPファイルの探索を狙ったと考えられる。
代表的なシェル名とWordPress系名称をまとめて試す点が特徴。攻撃密度は Critical。
Target IP: 45.86.202.38
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for wso.php, ws.php, wsa.php, xp.php, wp-user.php
日本語補足:このIPは、不審なPHPファイルの場所を大量に探していました。
備考:データセンター経由の自動化スキャンである可能性が高い。
既知のWebシェルや侵害済み環境に残りやすいPHPファイルの探索を狙ったと考えられる。
代表的なシェル名とWordPress系名称をまとめて試す点が特徴。攻撃密度は Critical。
Target IP: 45.86.202.41
Status: Blacklisted (241 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations,
Transferred to RIPE NCC
Comment: [Fingerprinting] enumerating wp-json and wp-includes paths for WordPress
component discovery
日本語補足:このIPは、WordPressの中の機能や部品の場所を何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの構成や有効機能の把握を狙ったと
考えられる。REST APIや内部ディレクトリを細かく列挙する点が特徴。攻撃密度は High Activity。
Target IP: 62.197.156.35
Status: Blacklisted (84 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php and administrator/index.php across multiple environments
日本語補足:このIPは、複数の管理環境で、xmlrpc.php と administrator/index.php の場所を何度も調べていました。
備考:広域スキャンやボットネット経由のアクセスである可能性が高い。複数の管理環境を横断してCMSの管理画面や
XML-RPCの露出確認を狙ったと考えられる。WordPress系と管理画面系の候補をまとめて試す点が特徴。攻撃密度は Moderate。
Target IP: 72.146.11.103
Status: Blacklisted (202 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for ws80.php, doc.php, zxcs.php, zogy1.php, xper1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を狙ったと考えられる。
連番に近い名前や短いPHP名を広く試す点が特徴。攻撃密度は High Activity。
# --- Incident Log: 2026-04-20 ---
Target IP: 132.196.3.209
Status: Blacklisted (255 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL,abuse@ripe.net,
Early Registrations /Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such aswp-trackback.php,
wp-settings.php, wp-load.php,wp-includes/widgets.php, wp-includes/template.php
日本語補足:このIPは、WordPressの場所や中のファイルを何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの設置状況や公開された構成を
確認する意図と考えられる。コアファイルを広く順番に試す点が特徴。攻撃密度は High Activity。
Target IP: 135.119.27.9
Status: Blacklisted (174 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL,abuse@ripe.net,
Early Registrations /Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such
as wp-mail.php, wp.php,wp-good.php, wp-config-sample.php, ws83.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの設置確認と不審なPHP
ファイルの残存確認を狙ったと考えられる。管理系やプラグイン配下まで試す点が特徴。攻撃密度は Moderate。
Target IP: 158.158.74.143
Status: Blacklisted (171 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC),
AU, search-apnic-not-arin@apnic.net, Early
Registrations / Transferred to APNIC
Comment: [Web Shell Probe] probing for wp_filemanager.phpand shell files such
as zoo.php, yw5bi63u.php,xxx.php, ws88.php
日本語補足:このIPは、wp_filemanager.php と、不審なPHPファイルの場所を何度も探していました。
備考:広域スキャン基盤からの自動化アクセスである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイル
を探す意図と考えられる。短いシェル名を多数反復する点が特徴。攻撃密度は Moderate。
Target IP: 172.213.245.217
Status: Blacklisted (174 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL,
abuse@ripe.net, Early Registrations /Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such
as wp_filemanager.php,wp-blog-header.php, wp-admin/network/users.php,wp-good.php, zoo.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの設置確認や管理機能の露出確認を
狙ったと考えられる。WordPress管理系パスを含めて横に広く試す点が特徴。攻撃密度は Moderate。
Target IP: 20.203.188.128
Status: Blacklisted (171 hits)
WHOIS Info: Microsoft Corporation (Azure), US,abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp_filemanager.php
and shell files such as zoo.php, yw5bi63u.php,xxx.php, ws88.php
日本語補足:このIPは、wp_filemanager.php と、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。短いシェル名を多数反復する点が特徴。攻撃密度は Moderate。
Target IP: 20.91.129.11
Status: Blacklisted (22 hits)
WHOIS Info: Microsoft Corporation (Azure), US,abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp_filemanager.php
and shell files such as wp-post-data.php,shell20211028.php, Marvins.php, kcs.php
日本語補足:このIPは、wp_filemanager.php と、不審なPHPファイルの場所を探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後ファイルの残存確認を狙ったと考えられる
。少数の代表的な候補を短時間で試す点が特徴。攻撃密度は Low Activity。
Target IP: 4.204.200.16
Status: Blacklisted (87 hits)
WHOIS Info: Microsoft Corporation (Azure), US,abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such
as wp-mail.php, wp.php,wp-good.php, wp-config-sample.php, ws83.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの設置確認と不審なPHPファイルの
残存確認を狙ったと考えられる。管理系やプラグイン配下まで試す点が特徴。攻撃密度は Moderate。
Target IP: 62.197.156.35
Status: Blacklisted (84 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved),Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php andadministrator/index.php across multiple environments
日本語補足:このIPは、複数の管理環境で、xmlrpc.php と administrator/index.php
の場所を何度も調べていました。
備考:広域スキャンやボットネット経由のアクセスである可能性が高い。複数の管理環境を横断し、CMSの管理画面や
XML-RPCの露出確認を狙ったと考えられる。WordPress系とJoomla系の候補をまとめて試す点が特徴。攻撃密度は Moderate。# --- Incident Log: 2026-04-19 ---
Target IP: 20.111.61.194
Status: Blacklisted (27 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for wp_filemanager.php and shell files such as
wp-post-data.php, shell20211028.php, shadow-bot.php, Marvins.php
日本語補足:このIPは、wp_filemanager.php と、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。WordPress関連パスと短いシェル名を組み合わせる点が特徴。攻撃密度は Low Activity。
Target IP: 20.151.131.235
Status: Blacklisted (206 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-includes/ID3/, wp-content/uploads/, wso.php, wp-mail.php, xmrlpc.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの構成確認や不審なPHPファイルの残存確認を
狙ったと考えられる。コア配下とアップロード先を広く探索する点が特徴。攻撃密度は High Activity。
Target IP: 20.203.141.81
Status: Blacklisted (662 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as baixy.php,
assacc.php, zz8.php, zyjhr.php, zvinn.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知または改変されたWebシェル名を探す意図と考えられる。
短いPHPファイル名を大量に反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.203.143.130
Status: Blacklisted (230 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zogy1.php,
yuzuru1.php, xynz.php, xy.php, xwx1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや不審なPHPファイルの残存確認を狙ったと
考えられる。規則的な短いPHP名を横に広く試す点が特徴。攻撃密度は High Activity。
Target IP: 20.215.185.132
Status: Blacklisted (24 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as yas.php,
w3llstore.php, tk.php, themes.php, sadcut1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後ファイルの残存確認を
狙ったと考えられる。テーマ関連に見せかけた名称も含めて試す点が特徴。攻撃密度は Low Activity。
Target IP: 20.215.244.72
Status: Blacklisted (228 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zogy1.php,
yuzuru1.php, xynz.php, xy.php, xwx1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや不審なPHPファイルの残存確認を狙ったと
考えられる。規則的な短いPHP名を横に広く試す点が特徴。攻撃密度は High Activity。
Target IP: 20.215.248.211
Status: Blacklisted (345 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-admin/network/users.php, wp-good.php, zoo.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認や管理機能の露出確認を狙ったと考えられる。同一の候補パスを各環境へ反復する点が特徴。
攻撃密度は High Activity。
Target IP: 20.9.94.61
Status: Blacklisted (87 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such
as wp-mail.php, wp.php, wp-good.php, wp-config-sample.php, ws83.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの設置確認と不審なPHPファイルの残存確認を
狙ったと考えられる。プラグイン配下や管理系パスまで広く試す点が特徴。攻撃密度は Moderate。
Target IP: 4.212.95.215
Status: Blacklisted (232 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zogy1.php,
yuzuru1.php, xynz.php, xy.php, xwx1.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや不審なPHPファイルの残存確認を狙ったと
考えられる。規則的な短いPHP名を横に広く試す点が特徴。攻撃密度は High Activity。
Target IP: 51.103.130.144
Status: Blacklisted (60 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zxcs.php, zwso.php,
wp-post-data.php, shell20211028.php, shadow-bot.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。複数の別名シェルをまとめて確認する点が特徴。攻撃密度は Moderate。
Target IP: 68.221.134.82
Status: Blacklisted (60 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zxcs.php, zwso.php,
wp-post-data.php, shell20211028.php, shadow-bot.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや侵害後に置かれやすいPHPファイルを
探す意図と考えられる。複数の別名シェルをまとめて確認する点が特徴。攻撃密度は Moderate。
Target IP: 72.146.12.65
Status: Blacklisted (1336 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as baixy.php,
assacc.php, zz8.php, zyjhr.php, zvinn.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知または改変されたWebシェル名を探す意図と考えられる。
短いPHPファイル名を大量に反復する点が特徴。攻撃密度は Critical。# --- Incident Log: 2026-04-18 ---
Target IP: 134.209.76.67
Status: Blacklisted (40 hits)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [Broad Scan] probing for exposed repository file .git/config
日本語補足:このIPは、公開されてはいけない `.git/config` の場所を探していました。
備考:クラウド上の自動化スキャンである可能性が高い。設定情報や管理用ファイルの露出確認を狙ったと考えられる。
単一の重要ファイルを反復して確認する点が特徴。攻撃密度は Low Activity。
Target IP: 158.158.109.157
Status: Blacklisted (171 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC), AU, search-apnic-not-arin@apnic.net,
Early Registrations / Transferred to APNIC
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-access.php, wp-good.php, zoo.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:広域スキャン基盤からの自動化アクセスである可能性が高い。
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。
WordPress系パスと短いPHP名を組み合わせて試す点が特徴。攻撃密度は Moderate。
Target IP: 20.151.105.117
Status: Blacklisted (135 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as xmlrpc.php,
wp-login.php, wp-trackback.php, wp-good.php, ws.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。同一の候補パスを各環境へ繰り返す点が特徴。
攻撃密度は Moderate。
Target IP: 20.215.216.144
Status: Blacklisted (356 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zz.php, zwq.php, zeal.php,
wxpass.php, wso-x569.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す
意図と考えられる。多数の短いPHP名を高速に反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.215.248.211
Status: Blacklisted (174 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-admin/network/users.php, wp-good.php, zoo.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの設置確認や管理機能の露出確認を狙ったと考えられる。
WordPress管理系パスを含めて横に広く試す点が特徴。攻撃密度は Moderate。
Target IP: 20.223.204.92
Status: Blacklisted (360 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zz.php, zwq.php,
zeal.php, wxpass.php, wso-x569.php
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す意図と考えられる。多数の短いPHP名を各環境へ
反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.78.172.67
Status: Blacklisted (174 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-mail.php, wp-config-sample.php, wp-good.php, wp-content/plugins/index.php, ws83.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。
プラグイン配下や管理系パスまで広く試す点が特徴。攻撃密度は Moderate。
Target IP: 40.78.181.132
Status: Blacklisted (45 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
xmlrpc.php, wp-login.php, wp-trackback.php, wp-good.php, ws.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの設置確認と不審なPHPファイルの残存確認を狙った
と考えられる。代表的なWordPress入口と短いPHP名を組み合わせて試す点が特徴。攻撃密度は Low Activity。
Target IP: 40.85.253.121
Status: Blacklisted (227 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-includes/ID3/, wp-admin/network/, wp-content/uploads/, wso.php, xmrlpc.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPressの構成確認や管理機能の露出確認を狙ったと考えられる。
コア配下と管理系ディレクトリをまとめて探索する点が特徴。攻撃密度は High Activity。
Target IP: 88.218.46.12
Status: Blacklisted (37 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [WordPress Recon] scanning WordPress config and backup paths such as wp-config.php,
wp-content/debug.log, wp-content/mysql.sql, wp-admin/install.php, wp-links-opml.php
日本語補足:このIPは、WordPressの設定ファイルやバックアップファイルの場所を探していました。
備考:自動化された広域スキャンである可能性が高い。設定情報やバックアップファイルの露出確認を狙ったと考えられる。
設定系とログ系のパスを順に試す点が特徴。攻撃密度は Low Activity。# --- Incident Log: 2026-04-17 ---
Target IP: 158.158.35.197
Status: Blacklisted (232 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC), AU, search-apnic-not-arin@apnic.net,
Early Registrations / Transferred to APNIC
Comment: [Web Shell Probe] probing for suspicious PHP files such as zogy1.php, xynz.php,
xper.php, wxpass.php, ws87.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:広域スキャン基盤からの自動化アクセスである可能性が高い。
既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す意図と考えられる。短いPHPファイル名を大量に反復する点が
特徴。攻撃密度は High Activity。
Target IP: 158.158.55.117
Status: Blacklisted (171 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC), AU, search-apnic-not-arin@apnic.net,
Early Registrations / Transferred to APNIC
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-access.php, wp-good.php, zoo.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:広域スキャン基盤からの自動化アクセスである可能性が高い。
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。
WordPress系パスと短いPHP名を組み合わせて試す点が特徴。攻撃密度は Moderate。
Target IP: 172.213.218.185
Status: Blacklisted (87 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations /
Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-admin/network/users.php, wp-good.php, zoo.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:データセンター経由の自動化スキャンである可能性が高い。WordPressの設置確認や管理機能の露出確認を狙ったと
考えられる。WordPress管理系パスを含めて横に広く試す点が特徴。攻撃密度は Moderate。
Target IP: 194.114.136.126
Status: Blacklisted (16 hits)
WHOIS Info: Owl Limited, Unknown (Unresolved), c/o Owl Limited, Unknown (Unresolved)
Comment: [Broad Scan] probing for exposed files such as .env, vendor/.env, admin/.env,
eval-stdin.php
日本語補足:このIPは、公開されてはいけない設定ファイルや実行ファイルの場所を探していました。
備考:自動化された広域スキャンである可能性が高い。設定漏えいや既知の脆弱な実行パスを探す意図と考えられる。
.env 系と phpunit 関連パスを続けて試す点が特徴。攻撃密度は Low Activity。
Target IP: 20.100.169.43
Status: Blacklisted (352 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zz.php, zwq.php, zeal.php,
wxpass.php, wso-x569.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す意図と
考えられる。多数の短いPHP名を高速に反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.199.125.41
Status: Blacklisted (356 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as zz.php, zwq.php, zeal.php,
wxpass.php, wso-x569.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す
意図と考えられる。多数の短いPHP名を高速に反復する点が特徴。攻撃密度は High Activity。
Target IP: 72.146.43.163
Status: Blacklisted (273 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-login.php, wp_filemanager.php, wp-config-sample.php, test.php, main.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。同一の候補パスを各環境へ繰り返す点が特徴。
攻撃密度は High Activity。
Target IP: 74.248.131.183
Status: Blacklisted (342 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp_filemanager.php, wp-blog-header.php, wp-access.php, wp-good.php, zoo.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認と不審なPHPファイルの残存確認を狙ったと考えられる。同一パターンを各環境へ反復する点が特徴。
攻撃密度は High Activity。
Target IP: 89.169.170.131
Status: Blacklisted (48 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing for exposed files such as .env, secrets.env, phpinfo.php,
info.php, secret
日本語補足:このIPは、公開されてはいけない設定ファイルや情報表示ファイルの場所を探していました。
備考:自動化された広域スキャンである可能性が高い。設定漏えいや環境情報の取得を狙ったと考えられる。
.env 系と情報表示系のパスを順に試す点が特徴。攻撃密度は Low Activity。
Target IP: 92.62.120.132
Status: Blacklisted (12 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Web Shell Probe] probing for suspicious PHP files such as zwso.php, O-Simple.php,
mah.php, bless.php, .wp/wso.php
日本語補足:このIPは、不審なPHPファイルの場所を探していました。
備考:自動化された広域スキャンである可能性が高い。既知のWebシェルや不審なPHPファイルの残存確認を狙ったと考えられる。
短時間で複数の候補名を試す点が特徴。攻撃密度は Low Activity。# --- Incident Log: 2026-04-16 ---
Target IP: 136.117.155.162
Status: Blacklisted (27 hits)
WHOIS Info: Google LLC (GOOGL-2), US, google-cloud-compliance@google.com, Direct Allocation
Comment: [Broad Scan] probing for exposed files such as .env, .git/config, actuator/env,
debug/default/view, .env.production
日本語補足:このIPは、設定ファイルや公開されてはいけないファイルの場所を探していました。
備考:クラウド上の自動化スキャンである可能性が高い。設定漏えいや開発情報の露出を探す意図と考えられる。
.env や .git/config を順に試す点が特徴。攻撃密度は Low Activity。
Target IP: 158.158.55.96
Status: Blacklisted (297 hits)
WHOIS Info: Asia Pacific Network Information Centre (APNIC), AU,
search-apnic-not-arin@apnic.net, Early Registrations / Transferred to APNIC
Comment: [Web Shell Probe] probing for suspicious PHP files such as ms-edit.php,
fe5.php, dx.php, av.php, zample.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:広域スキャン基盤や共有インフラからのアクセスである可能性が高い。
既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す意図と考えられる。候補名を広く反復する点が特徴。
攻撃密度は High Activity。
Target IP: 20.220.161.65
Status: Blacklisted (206 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths and suspicious PHP files such as
wp-includes/ID3/, wp-content/uploads/, xmrlpc.php, wso.php, wp-mail.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPress構成の把握と不正ファイルの残存確認を同時に狙った
と考えられる。WordPress配下を広く列挙する点が特徴。攻撃密度は High Activity。
Target IP: 20.222.20.193
Status: Blacklisted (87 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as wp-mail.php, y.php,
x.php, ws83.php, wp-good.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後の設置先を探す意図と考えられる。
短いPHPファイル名を順に試す点が特徴。攻撃密度は Moderate。
Target IP: 20.48.178.163
Status: Blacklisted (135 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] probing WordPress paths and suspicious PHP files such as
xmlrpc.php, wp-login.php, wp-trackback.php, wp-good.php, wp-conf.php
日本語補足:このIPは、複数の管理環境で、WordPressの場所と、不審なPHPファイルの場所を調べていました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
WordPressの設置確認と不正ファイルの残存確認を狙ったと考えられる。同一パターンを各環境へ繰り返す点が特徴。
攻撃密度は Moderate。
Target IP: 212.87.219.175
Status: Blacklisted (37 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [WordPress Recon] probing WordPress backup and configuration files such as
wp-config.php, wp-config.php.bak, wp-content/debug.log, wp-admin/install.php, wp-links-opml.php
日本語補足:このIPは、WordPressの設定ファイルやバックアップファイルの場所を探していました。
備考:情報窃取を狙う自動化スキャンである可能性が高い。設定ファイルやバックアップから認証情報や内部情報を得る
\意図と考えられる。設定関連の派生名を順に試す点が特徴。攻撃密度は Low Activity。
Target IP: 45.133.5.10
Status: Blacklisted (582 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/style-engine/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。WordPress構成の把握や露出した機能の確認を狙ったと
考えられる。広いディレクトリ列挙を続ける点が特徴。攻撃密度は High Activity。
Target IP: 45.133.5.27
Status: Blacklisted (290 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations /
Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/style-engine/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。WordPress構成の把握や露出した機能の確認を狙ったと
考えられる。WordPress配下を系統的に列挙する点が特徴。攻撃密度は High Activity。
Target IP: 45.133.5.29
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations /
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php, xx.php,
xp.php, wso.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。侵入済み環境や残存バックドアを探す意図と考えられる。
既知のシェル名を大量に反復する点が特徴。攻撃密度は Critical。
Target IP: 45.133.5.54
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations /
Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php, xx.php,
xp.php, wso.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。侵入済み環境や残存バックドアを探す意図と考えられる。
既知のシェル名を大量に反復する点が特徴。攻撃密度は Critical。
Target IP: 62.197.156.35
Status: Blacklisted (126 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Sri Lanka, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php and administrator/index.php across common CMS paths
日本語補足:このIPは、複数の管理環境で、CMSの管理画面や xmlrpc.php の場所を何度も探していました。
備考:自動化された広域スキャンである可能性が高い。複数の管理環境を横断し、
CMSの種類や管理画面の露出を確認する意図と考えられる。共通パスを順番に試す点が特徴。攻撃密度は Moderate。
Target IP: 72.146.43.163
Status: Blacklisted (183 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as wp.php, wp-mail.php,
wp-login.php, test.php, main.php
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、
既知のWebシェルや改ざん後に置かれやすいPHPファイルを探したと考えられる。似た候補名を反復する点が特徴。
攻撃密度は Moderate。
Target IP: 74.248.32.74
Status: Blacklisted (584 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as ms-edit.php, fe5.php,
dx.php, av.php, zample.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすいPHPファイルを探す
意図と考えられる。候補名を広く反復する点が特徴。攻撃密度は High Activity。
Target IP: 82.196.25.136
Status: Blacklisted (16 hits)
WHOIS Info: DATACENTER DZ, Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Auth Attack] probing WordPress login endpoint wp-login.php
日本語補足:このIPは、WordPressのログインページを探していました。
備考:データセンター経由の自動化アクセスである可能性が高い。
認証画面の存在確認やその後のログイン試行の準備を狙ったと考えられる。単一の認証パスへ反復する点が特徴。
攻撃密度は Low Activity。
Target IP: 92.62.121.68
Status: Blacklisted (48 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing administrator and xmlrpc paths across common CMS locations
日本語補足:このIPは、CMSの管理画面や xmlrpc.php の場所を探していました。
備考:自動化された広域スキャンである可能性が高い。CMSの種類や管理画面の露出を確認する意図と考えられる。
管理画面系の共通パスを順番に試す点が特徴。攻撃密度は Low Activity。# --- Incident Log: 2026-04-15 ---
Target IP: 149.40.50.195
Status: Blacklisted (135 hits across multiple environments)
WHOIS Info: Cogent Communications, LLC (COGC), US, abuse@cogentco.com, Direct Allocation
Comment: [Web Shell Probe] probing for shell-related PHP files such as zwso.php,
O-Simple.php, mah.php, lock360.php, chosen.php
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を探していました。
備考:共有インフラやスキャン基盤からの自動化アクセスである可能性が高い。複数の管理環境を横断し、既知のWebシェルや不正ファイルの残存確認を狙ったと考えられる。候補名を広く試す点が特徴。攻撃密度は Moderate。
Target IP: 173.239.218.103
Status: Blacklisted (243 hits)
WHOIS Info: LogicWeb Inc. (LOGIC-25), US, abuse@logicweb.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/SimplePie/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:共有サーバやスキャン基盤からのアクセスである可能性が高い。WordPressの構成把握や露出した機能の確認を狙ったと考えられる。広いディレクトリ列挙が特徴。
攻撃密度は High Activity。
Target IP: 20.215.240.253
Status: Blacklisted (305 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as ms-edit.php,
fe5.php, dx.php, av.php, zample.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすいPHPファイルを
探す意図と考えられる。候補名を反復して試す点が特徴。攻撃密度は High Activity。
Target IP: 20.220.62.139
Status: Blacklisted (549 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for shell and upload-related PHP files such as ty.php,
test1.php, inputs.php, wso2.php, wso1337.php
日本語補足:このIPは、複数の管理環境で、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断し、既知のWebシェルや不正アップロード先を探す意図と考えられる。候補名を繰り返し試す点が特徴。
攻撃密度は High Activity。
Target IP: 20.63.103.29
Status: Blacklisted (270 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for shell and upload-related PHP files such as ty.php,
test1.php, inputs.php, wso2.php, wso1337.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや不正アップロード先を探す意図と考えられる。
候補名を反復して試す点が特徴。攻撃密度は High Activity。
Target IP: 34.169.222.161
Status: Blacklisted (25 hits)
WHOIS Info: Google LLC (GOOGL-2), US, google-cloud-compliance@google.com, Direct Allocation
Comment: [Broad Scan] probing for exposed files such as .env, .git/config, actuator/env,
debug/default/view, .env.production
日本語補足:このIPは、設定ファイルや公開されてはいけないファイルの場所を探していました。
備考:クラウド上の自動化スキャンである可能性が高い。設定漏えいや開発用情報の露出を見つける意図と考えられる。
環境変数や設定関連の代表的な名前を順に試す点が特徴。攻撃密度は Low Activity。
Target IP: 35.77.47.249
Status: Blacklisted (34 hits across multiple environments)
WHOIS Info: Amazon (AWS), US, trustandsafety@support.aws.com, Direct Allocation
Comment: [Auth Attack] probing WordPress login endpoint wp-login.php across multiple environments
日本語補足:このIPは、複数の管理環境で、WordPressのログインページを探していました。
備考:AWS上の自動化アクセスである可能性が高い。認証画面の存在確認や、その後のログイン試行の準備を狙ったと考えられる。
対象を広く横断する軽量な探索が特徴。攻撃密度は Low Activity。
Target IP: 4.196.165.107
Status: Blacklisted (102 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as ioxi-o.php, adminfuns.php,
admin.php, xmr.php, wp-themes.php
日本語補足:このIPは、不審なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや改ざん後に置かれやすい管理系PHPファイルを探す意図と考えられる。複数の設置場所を変えながら試す
点が特徴。攻撃密度は Moderate。
Target IP: 62.197.156.35
Status: Blacklisted (105 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Sri Lanka, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing xmlrpc.php and administrator/index.php across common CMS paths
日本語補足:このIPは、複数の管理環境で、CMSの管理画面や xmlrpc.php の場所を何度も探していました。
備考:自動化された広域スキャンである可能性が高い。複数の管理環境を横断し、
CMSの種類や管理画面の露出を確認する意図と考えられる。複数の共通パスを順番に試す点が特徴。攻撃密度は Moderate。
Target IP: 88.151.32.223
Status: Blacklisted (34 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing for exposed files such as .env, serviceAccountKey.json,
secrets.json, docker-compose.yml, appsettings.json
日本語補足:このIPは、設定ファイルや秘密情報のファイルが見える場所を探していました。
備考:情報窃取を狙う自動化スキャンである可能性が高い。設定漏えいから認証情報や接続情報を得る意図と考えられる。
機密ファイル名を少数ずつ試す点が特徴。攻撃密度は Low Activity。
Target IP: 88.151.34.212
Status: Blacklisted (34 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing for exposed files such as .env, serviceAccountKey.json,
secrets.json, docker-compose.yml, appsettings.json
日本語補足:このIPは、設定ファイルや秘密情報のファイルが見える場所を探していました。
備考:情報窃取を狙う自動化スキャンである可能性が高い。設定漏えいから認証情報や接続情報を得る意図と考えられる。
機密ファイル名を少数ずつ試す点が特徴。攻撃密度は Low Activity。# --- Incident Log: 2026-04-14 ---
Target IP: 134.209.76.67
Status: Blacklisted (12 hits)
WHOIS Info: DigitalOcean, LLC, US, abuse@digitalocean.com, Direct Allocation
Comment: [Fingerprinting] probing for exposed repository file .git/config
日本語補足:このIPは、公開されてはいけない `.git/config` の場所を探していました。
備考:VPSやクラウド上の自動化スキャンである可能性が高い。設定情報や認証情報の手がかりを探す意図と考えられる。
単発に近い確認型アクセスが特徴。攻撃密度は Low Activity。
Target IP: 147.93.141.125
Status: Blacklisted (88 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations /
Transferred to RIPE NCC
Comment: [WordPress Recon] probing WordPress paths and suspicious PHP files such as style.php,
txets.php, postnews.php, wp_mna.php, zwso.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:広域スキャン基盤やボット経由である可能性が高い。WordPress設置状況の確認と、
不正ファイルの残存確認を同時に狙ったと考えられる。候補ファイル名を順番に試す動きが特徴。攻撃密度は Moderate。
Target IP: 173.239.218.10
Status: Blacklisted (1000 hits)
WHOIS Info: LogicWeb Inc. (LOGIC-25), US, abuse@logicweb.com, Direct Allocation
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php, x.php,
wso.php, wp-user.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:共有インフラやスキャン基盤からの自動化アクセスである可能性が高い。
侵入済み環境を見つけるために既知のシェル名を大量に試したと考えられる。非常に高い反復数が特徴。攻撃密度は Critical。
Target IP: 20.100.203.4
Status: Blacklisted (14 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as wpls.php, wp_filemanager.php,
ssh3ll.php, new4.php, i6z19N.php
日本語補足:このIPは、不正なPHPファイルの場所を探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェルや不正アップロード先の有無を調べる意図と考えられる。
少数の代表的な候補に絞った確認が特徴。攻撃密度は Low Activity。
Target IP: 20.104.245.70
Status: Blacklisted (382 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as zz.php, zwq.php, ZSLeDE.php,
wxpass.php, wso-x569.php
日本語補足:このIPは、複数の管理環境で、不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境を横断して侵入済みサイトや残存シェルを探す意図と
考えられる。同一パターンを反復する点が特徴。攻撃密度は High Activity。
Target IP: 20.151.218.28
Status: Blacklisted (200 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as xBrain.php, rc.php7, indo.php,
wp_filemanager.php, tesla1.php
日本語補足:このIPは、不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のバックドア名や改ざん後に置かれやすいファイルを探す意図と
考えられる。古いシェル名を広く試す動きが特徴。攻撃密度は High Activity。
Target IP: 20.151.248.149
Status: Blacklisted (387 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as wp_filemanager.php, ssh3ll.php,
wpls.php, new4.php, i6z19N.php
日本語補足:このIPは、複数の管理環境で、不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。複数の管理環境に同じ候補を投げて、侵入済み環境を探したと考えられる。
短時間に同型のアクセスを繰り返す点が特徴。攻撃密度は High Activity。
Target IP: 20.234.84.209
Status: Blacklisted (305 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] probing WordPress paths and suspicious PHP files such as
wp-content/, ms-edit.php, fe5.php, dx.php, wp-content/admin.php
日本語補足:このIPは、WordPressの場所と、不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPress構成の把握と、不正配置ファイルの確認を同時に狙ったと
考えられる。管理系の場所と不審ファイル名を組み合わせる点が特徴。攻撃密度は High Activity。
Target IP: 20.234.9.131
Status: Blacklisted (200 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as xBrain.php, rc.php7, indo.php,
wp_filemanager.php, tesla1.php
日本語補足:このIPは、不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のバックドア名や改ざん後に置かれやすいファイルを探す意図と
考えられる。候補名を広く試す反復アクセスが特徴。攻撃密度は High Activity。
Target IP: 216.24.210.90
Status: Blacklisted (292 hits)
WHOIS Info: Rockion LLC (RL-861), US, netops@rockionllc.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/SimplePie/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:共有サーバやスキャン基盤からのアクセスである可能性が高い。
WordPressの構成把握や利用可能な機能の確認を狙ったと考えられる。広いディレクトリ列挙が特徴。
攻撃密度は High Activity。
Target IP: 35.157.131.18
Status: Blacklisted (202 hits)
WHOIS Info: Amazon (AWS), US, trustandsafety@support.aws.com, Direct Allocation
Comment: [Fingerprinting] probing for phpinfo and diagnostic files such as phpinfo.php,
server-info.php, server-status.php, test.php, pinfo.php
日本語補足:このIPは、`phpinfo` などの診断ファイルの場所を何度も探していました。
備考:AWS上の自動化スキャンである可能性が高い。実行環境の情報取得や設定確認を狙った事前調査と考えられる。
診断系ファイルへ広くアクセスする点が特徴。攻撃密度は High Activity。
Target IP: 35.77.47.249
Status: Blacklisted (23 hits across multiple environments)
WHOIS Info: Amazon (AWS), US, trustandsafety@support.aws.com, Direct Allocation
Comment: [Auth Attack] probing WordPress login endpoint wp-login.php across multiple environments
日本語補足:このIPは、複数の管理環境で、WordPressのログインページを探していました。
備考:AWS上の自動化アクセスである可能性が高い。認証画面の存在確認や、その後のログイン試行の準備を狙ったと
考えられる。対象を広く横断する軽量な探索が特徴。攻撃密度は Low Activity。
Target IP: 72.146.2.255
Status: Blacklisted (232 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as zogy1.php, yuzuru1.php,
wxpass.php, ws87.php, ws57.php
日本語補足:このIPは、不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のシェル名や派生名を広く試して侵入済み環境を探したと
考えられる。似た名前のファイルを連続で試す点が特徴。攻撃密度は High Activity。
Target IP: 88.151.33.247
Status: Blacklisted (34 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [Broad Scan] probing for exposed files such as .env, serviceAccountKey.json,
secrets.json, docker-compose.yml, appsettings.json
日本語補足:このIPは、設定ファイルや秘密情報のファイルが見える場所を探していました。
備考:広域スキャンや情報窃取目的の自動化アクセスである可能性が高い。設定漏えいから認証情報や接続情報を得る
意図と考えられる。複数種類の機密ファイル名を少数ずつ試す点が特徴。攻撃密度は Low Activity。
Target IP: 98.159.37.19
Status: Blacklisted (243 hits)
WHOIS Info: LogicWeb Inc. (LOGIC-25), US, abuse@logicweb.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/Text/Diff/, wp-includes/SimplePie/Parse/, wp-includes/SimplePie/Cache/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:共有インフラやスキャン基盤からのアクセスである可能性が高い。
WordPressの構成把握と露出した機能の確認を狙ったと考えられる。広いディレクトリ列挙が特徴。攻撃密度は High Activity。# --- Incident Log: 2026-04-13 ---
Target IP: 13.71.185.179
Status: Blacklisted (1322 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for random PHP backdoor files such as css.php,
cong.php, byp.php, alfa.php, zwso.php
日本語補足:このIPは、複数の管理環境で、不正なPHPファイルがある場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェル残存確認を狙ったと考えられる。
複数の管理環境に同一パターンで反復アクセスしている。Critical.
Target IP: 20.166.82.91
Status: Blacklisted (249 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as motu.php, file61.php,
zoper1.php, ws.php, wpb.php
日本語補足:このIPは、不正なPHPファイルがある場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェル設置先や不正ファイルの有無を調べる意図と考えられる。
短時間に多数の候補へアクセスしている。High Activity.
Target IP: 20.220.147.82
Status: Blacklisted (315 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP backdoor paths such as css.php, cong.php,
byp.php, alfa.php, wp-trackback.php
日本語補足:このIPは、不正なPHPファイルや不審な場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。侵入後に使われるファイルや公開漏れパスの確認を狙ったと考えられる。
候補名を広く試す探索が特徴。High Activity.
Target IP: 20.91.190.16
Status: Blacklisted (90 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing WordPress and PHP shell paths such as wp.php,
wp-widgets.php, wp_filemanager.php, up.php, info.php
日本語補足:このIPは、WordPress関連や不正なPHPファイルの場所を探していました。
備考:Azure上の自動化スキャンである可能性が高い。WordPress設置環境で既知の不正ファイルや残存シェルを探す
意図と考えられる。WordPress系パスへの集中アクセスが特徴。Moderate.
Target IP: 20.91.201.27
Status: Blacklisted (302 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [WordPress Recon] scanning WordPress directories and suspicious PHP paths
such as wp-content/, wp-content/admin.php, wp-update.php, wp-includes/Text/Diff/Engine/,
ms-edit.php
日本語補足:このIPは、WordPressの場所や不審なPHPファイルの場所を何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。WordPress構成の把握と不正配置ファイルの発見を同時に
狙ったと考えられる。管理系ディレクトリと不審ファイル名の組み合わせが特徴。High Activity.
Target IP: 4.232.184.116
Status: Blacklisted (498 hits across multiple environments)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as motu.php, file61.php,
zoper1.php, ws.php, wpb.php
日本語補足:このIPは、複数の管理環境で、不正なPHPファイルがある場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェル名を広く試して侵入済み環境を探していたと
考えられる。複数の管理環境に同一の候補群でアクセスしている。High Activity.
Target IP: 45.133.5.105
Status: Blacklisted (292 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early
Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/SimplePie/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。WordPressの構成把握と露出した機能の確認を狙ったと
考えられる。広いディレクトリ列挙が特徴。High Activity.
Target IP: 45.133.5.16
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php,
x.php, wso.php, ws.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。既知のWebシェル名を大量に試して侵入済み環境を探す意図と考えられる。短時間の高密度アクセスが特徴。Critical.
Target IP: 45.133.5.32
Status: Blacklisted (1000 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php,
x.php, wso.php, ws.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。既知のWebシェル名を大量に試して侵入済み環境を探す意図と考えられる。短時間の高密度アクセスが特徴。Critical.
Target IP: 45.133.5.7
Status: Blacklisted (292 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net,
Early Registrations / Transferred to RIPE NCC
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/widgets/, wp-includes/Text/Diff/, wp-includes/SimplePie/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:広域スキャン基盤やボットネット経由である可能性が高い。WordPressの構成把握と露出した機能の確認を狙ったと
考えられる。広いディレクトリ列挙が特徴。High Activity.
Target IP: 62.197.156.35
Status: Blacklisted (140 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Sri Lanka, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Fingerprinting] probing xmlrpc.php and administrator login paths to identify
WordPress and Joomla deployments
日本語補足:このIPは、複数の管理環境で、WordPressやJoomlaの管理画面の場所を調べていました。
備考:自動化ボットや広域スキャン基盤からのアクセスである可能性が高い。CMSの種類と管理入口の有無を見分ける
意図と考えられる。xmlrpc.php と administrator 系パスの反復確認が特徴。Moderate.
Target IP: 68.221.68.131
Status: Blacklisted (93 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing WordPress and PHP shell paths such as wp.php,
wp-login.php, wp_filemanager.php, up.php, test.php
日本語補足:このIPは、WordPress関連や不正なPHPファイルの場所を探していました。
備考:Azure上の自動化スキャンである可能性が高い。WordPress設置環境で既知の不正ファイルや公開漏れパスを探す意図と考えられる。
候補ファイル名を順に試す探索が特徴。Moderate.
Target IP: 89.251.0.185
Status: Blacklisted (243 hits)
WHOIS Info: Unknown (Unresolved), Canada, Unknown (Unresolved), Unknown (Unresolved)
Comment: [WordPress Recon] scanning WordPress paths such as wp-json/, wp-json/wp/v2/,
wp-includes/Text/Diff/, wp-includes/SimplePie/Parse/, wp-includes/SimplePie/Cache/
日本語補足:このIPは、WordPressの場所や中の構成を何度も調べていました。
備考:広域スキャン基盤や共有インフラ経由である可能性が高い。WordPressの構成把握と利用可能な機能の確認を
狙ったと考えられる。広いディレクトリ列挙が特徴。High Activity.
Target IP: 89.251.0.197
Status: Blacklisted (1000 hits)
WHOIS Info: Unknown (Unresolved), Canada, Unknown (Unresolved), Unknown (Unresolved)
Comment: [Web Shell Probe] probing for web shell files such as zwso.php, XxX.php,
x.php, wso.php, ws.php
日本語補足:このIPは、不正なWebシェルのファイルを非常に多く探していました。
備考:広域スキャン基盤や共有インフラ経由である可能性が高い。
既知のWebシェル名を大量に試して侵入済み環境を探す意図と考えられる。短時間の高密度アクセスが特徴。Critical.# --- Incident Log: 2026-04-12 ---
Target IP: 20.111.36.240
Status: Blacklisted (102 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for random PHP backdoor files such as wp_filemanager.php,
turbo.php, ss.php, small.php, ropyx.php
日本語補足:このIPは、Webシェルと思われるPHPファイルを何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知のバックドア設置先や残存ファイルの有無を調べる
意図と考えられる。ランダムなPHP名への連続アクセスが特徴。Moderate.
Target IP: 20.111.60.230
Status: Blacklisted (303 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing WordPress and PHP backdoor paths such as ms-edit.php,
fe5.php, dx.php, admin.php, wp-update.php
日本語補足:このIPは、WordPress関連や不正なPHPファイルの場所を何度も探していました。
備考:Azure上の自動化スキャンである可能性が高い。侵入後に使われるファイルや管理系パスの露出確認を
狙ったと考えられる。単一の管理環境に対する反復試行が目立つ。High Activity.
Target IP: 4.245.205.135
Status: Blacklisted (251 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as motu.php, file61.php,
zoper1.php, ws.php, wpb.php
日本語補足:このIPは、不正に使われるPHPファイルがあるかを何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェル名を広く試すことで侵入済み環境を探していた
と考えられる。短時間に多数の候補へアクセスしている。High Activity.
Target IP: 62.197.145.21
Status: Blacklisted (125 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Nassau, Unknown (Unresolved)
Comment: [WordPress Recon] scanning WordPress core directories and web shell paths such as
zwso.php, wp-includes/, wp-admin/maint/, admin.php, .wp/wso.php
日本語補足:このIPは、複数の管理環境でWordPressの場所や不正ファイルの場所を調べていました。
備考:自動化ボットや広域スキャン基盤からのアクセスである可能性が高い。
WordPress構成の把握と既知のWebシェル痕跡の確認を同時に狙ったと考えられる。複数の管理環境にまたがる探索が特徴。
Moderate.
Target IP: 62.197.156.35
Status: Blacklisted (154 hits across multiple environments)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Sri Lanka, Unknown (Unresolved)
Comment: [Fingerprinting] probing xmlrpc.php and administrator login paths to identify
WordPress and Joomla deployments
日本語補足:このIPは、複数の管理環境でWordPressやJoomlaの管理画面の場所を調べていました。
備考:自動化ボットや広域スキャン基盤からのアクセスである可能性が高い。CMSの種類と管理入口の有無を
見分ける意図と考えられる。xmlrpc.phpとadministrator系パスの反復確認が特徴。Moderate.
Target IP: 72.146.8.12
Status: Blacklisted (16 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for suspicious PHP files such as wp_filemanager
.php, w.php, new2.php, mjq.php, admin-filters.php
日本語補足:このIPは、不正に使われるPHPファイルを少ない回数で探していました。
備考:Azure上の自動化スキャンである可能性が高い。既知の軽量Webシェルや管理系偽装ファイルの残存確認を
狙ったと考えられる。試行回数は少ないが対象は典型的。Low Activity.
Target IP: 74.248.134.16
Status: Blacklisted (251 hits)
WHOIS Info: Microsoft Corporation (Azure), US, Abuse Contact, Direct Allocation
Comment: [Web Shell Probe] probing for PHP shell files such as motu.php, file61.php,
zoper1.php, ws.php, wpb.php
日本語補足:このIPは、不正に使われるPHPファイルがあるかを何度も調べていました。
備考:Azure上の自動化スキャンである可能性が高い。既知のWebシェル名を広く試すことで侵入済み環境を
探していたと考えられる。短時間に多数の候補へアクセスしている。High Activity.# --- Incident Log: 2026-04-11 ---
Target IP: 2.26.82.41
Status: Blacklisted (25 hits)
WHOIS Info: Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved), Unknown (Unresolved)
Comment: [WordPress Recon] probing for xmlrpc.php, wlwmanifest.xml across common WordPress paths
日本語補足:このIPは、WordPressでよく使われる xmlrpc.php や wlwmanifest.xml を探していました。
合計25回のアクセスがあり、ブラックリスト対象です。
備考:WordPress の有無や設置場所を調べる事前探索と考えられる。自動化されたスキャンの可能性が高い。
活動量は Low Activity。
Target IP: 20.216.168.122
Status: Blacklisted (326 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for tfm.php, nw.php, zlnckdxn.php, zc-104.php, yw5bi63u.php
日本語補足:このIPは、複数のPHPファイルを探していました。合計326回のアクセスがあり、ブラックリスト対象です。
備考:既知または不審なPHPファイルを広く探す挙動であり、Webシェルや不正配置ファイルの探索と考えられる。
クラウド環境を使った自動スキャンの可能性が高い。活動量は High Activity。
Target IP: 20.238.64.167
Status: Blacklisted (152 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for xwx1.php, xs.php, wp-turn.php, wp_filemanager.php,admin.php
日本語補足:このIPは、複数のPHPファイルやWordPress関連の場所を探していました。合計152回のアクセスがあり、
ブラックリスト対象です。
備考:不正ファイルや脆弱な管理系パスを探す探索行為と考えられる。クラウド環境を使った自動化スキャンの可能性が高い。
活動量は Moderate。
Target IP: 20.63.209.197
Status: Blacklisted (38 hits)
WHOIS Info: Microsoft Corporation (Azure), US, abuse@microsoft.com, Direct Allocation
Comment: [Web Shell Probe] probing for adminfuns.php, php8.php, php.php, admin.php, wp-good.php
日本語補足:このIPは、複数のPHPファイルやWordPress関連の場所を探していました。合計38回のアクセスがあり、
ブラックリスト対象です。
備考:Webシェルや管理用ファイルの残存を探す挙動と考えられる。クラウド環境を使った探索の可能性がある。
活動量は Low Activity。
--- Incident Log: 2026-04-10 ---
Target IP: 194.169.171.37
Status: Blacklisted (1292 hits)
WHOIS Info: Unknown Org, BO, Unknown, Unknown Type
Comment: 複数の管理環境に対し、wso.php や zwso.php といった操作用シェル(バックドア)の有無を 1,000 件以上探索。
日本語補足:過去に設置された、あるいは他サイトで成功例のある不正スクリプトのファイル名を総当たりでリクエストしている。
備考:今回のパトロールで最大のリクエスト数を記録。ボリビアの IP を経由しており、
攻撃者は公開されているバックドアリストを用いて、管理環境内に「足場」が残っていないか、
あるいは脆弱なアップローダーによって設置可能かを執拗に調査している。
Target IP: 4.223.70.225
Status: Blacklisted (327 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: yawa.php, wp1.php, dass.php 等、ランダムかつ特徴的な PHP ファイルへの集中アクセス。
日本語補足:攻撃キットが生成したと思われる非正規のファイル名をターゲットに、
サーバー上の実行権限を確認しようとする試行。
備考:Azure のインフラを悪用した自動化スキャン。特定の脆弱性というよりは、既に侵入に成功した痕跡を探す、
あるいは特定の攻撃グループが好んで使うファイル名での「巡回」である可能性が高い。
Target IP: 20.251.51.29
Status: Blacklisted (297 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: wp-content ディレクトリ以下や、fe5.php, ms-edit.php といったファイルへの探索。
日本語補足:WordPress のコンテンツディレクトリ内に不正なスクリプトを隠蔽、または編集しようとする一連の挙動。
備考:4.223.70.225 と同様、Microsoft 経由の広範囲なスキャンキャンペーンの一環。特に WordPress
の構造を理解した上で、改ざんや不正アクセスを試みようとする意図が明確。
Target IP: 20.63.209.197
Status: Blacklisted (229 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: adminfuns.php や wp-includes 下の特定ディレクトリ、および .well-known への詳細な偵察。
日本語補足:管理機能に関連するファイルや、証明書更新等に使われるディレクトリを狙い、設定の不備や情報漏洩を狙う。
備考:特定の管理環境に対して集中的にリクエストを投げており、
環境固有のディレクトリ構造を把握しようとする高度な偵察活動。
Target IP: 62.197.156.35
Status: Blacklisted (133 hits across multiple sites)
WHOIS Info: Unknown Org, LK, Unknown, Unknown Type
Comment: xmlrpc.php や Joomla の管理者パス(/administrator/index.php)への横断的なアクセス。
日本語補足:CMS 特有の機能を悪用したブルートフォース攻撃や、ログイン画面への到達を目的とした広域スキャン。
備考:スリランカの IP を経由。WordPress だけでなく Joomla 等、複数の CMS をターゲットに含めており、
脆弱な入り口を探すための無差別なボット活動。
Target IP: 134.199.170.14
Status: Blacklisted (51 hits across multiple sites)
WHOIS Info: DigitalOcean, LLC (DO-13), US, abuse@digitalocean.com, Direct Allocation
Comment: 複数の管理環境に対し、wp-admin/install.php の存在を執拗に確認。
日本語補足:WordPress が再インストール可能な「未セットアップ状態」になっていないかを、
ディレクトリ階層を変えながら確認している。
備考:DigitalOcean のクラウド環境を悪用。設定不備のあるサイトを自動で見つけ出し、
即座に管理者権限を乗っ取るための準備行為(Reconnaissance)。
Target IP: 46.250.169.104
Status: Blacklisted (13 hits)
WHOIS Info: Packethost.net, NL, abuse@packethost.net, Allocated to RIPE NCC
Comment: 使用中のテーマ(Swell)のアセットファイルや、特定のプラグインパスへのピンポイントなアクセス。
日本語補足:サイトのフロントエンドを構成するファイル群を読み込み、
導入されているテーマやプラグインのバージョンを特定する。
備考:オランダのホスティングサービスを経由した「フィンガープリント採取」行為。
脆弱性が判明している古いバージョンのプラグインが使われていないかを精査するための事前調査。
Target IP: 20.89.240.100
Status: Blacklisted (73 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: wp-includes 内の JS ファイルや、idx_... といった難読化された PHP ファイル名へのリクエスト。
日本語補足:WordPress のコアシステム内に不正なファイルが紛れ込んでいないか、
あるいは正規ファイルに偽装したバックドアを探る。
備考:Azure 経由のスキャン。コアファイル内にバックドアを設置しようとする、
あるいは既知のマルウェアが残したファイル名を探る動きであり、高い警戒が必要。--- Incident Log: 2026-04-09 ---
Target IP: 13.74.146.113
Status: Blacklisted (403 detected)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: 複数の管理環境に対し、wp-mn.php や wp-gr.php といったバックドア設置の有無を探索。
日本語補足: 侵入後の操作用シェルスクリプトが既に置かれていないか、ファイル名をしらみつぶしに確認する
\ハンティング行為。
備考: 攻撃者はあらかじめリスト化された「バックドアの可能性が高いパス」を巡回している。Microsoft
のインフラを偵察の踏み台として利用している典型的な例だ。
Target IP: 172.161.76.32
Status: Blacklisted (208 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations
Comment: 短時間でのランダムな PHP ファイル名(zoper1.php, yussef.php 等)に対する総当たりスキャン。
日本語補足: 攻撃ツールを用いて、サーバー上に存在する可能性のある不正ファイルを高速でスキャンしている。
備考: リクエスト数が200を超えており、自動化されたボットによる集中的な攻撃。RIPE 管轄の IP を経由しており、
追跡を逃れる意図が見える。
Target IP: 172.213.26.45
Status: Blacklisted (21 hits)
WHOIS Info: RIPE Network Coordination Centre (RIPE), NL, abuse@ripe.net, Early Registrations
Comment: wp_filemanager.php などの特定プラグインの脆弱性パスへの集中アクセス。
日本語補足: 過去に脆弱性が報告されたファイルマネージャー系プラグインの隙を突き、
ファイル操作権限を奪取しようとする試行。
備考: 特定の脆弱性をターゲットにした「ピンポイント・スキャン」。.well-known ディレクトリへのアクセスも
含まれており、環境設定の不備を狙っている。
Target IP: 20.203.160.85
Status: Blacklisted (42 hits across multiple sites)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: 複数の管理環境に対して全く同一のパス(x123.php, database.php 等)を執拗にスキャン。
日本語補足: 複数のドメインを管理している環境に対し、共通して存在する脆弱性がないか一斉に調査している。
備考: Azure 経由のボットネットによる横断的な偵察活動。同一パターンの攻撃が複数のサイトで検知されてい
ることから、広範囲なスキャンキャンペーンの一環と考えられる。
Target IP: 20.223.185.167
Status: Blacklisted (225 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: 特定の管理環境に対する、200回以上の連続したバックドア探索。
日本語補足: 攻撃対象を一つに絞り、侵入の足がかりとなる PHP ファイルが存在しないか執拗にリクエストを
繰り返している。
備考: 今回のパトロールで最も攻撃密度の高い IP。特定のキーワード(wps, wpyur 等)
を含むファイル名へのアクセスが目立ち、特定の攻撃キットを使用している可能性が高い。
Target IP: 20.89.16.190
Status: Blacklisted (45 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: WordPress 内部構造(autoload_classmap.php 等)を狙った詳細な偵察。
日本語補足: WP のコアファイルやプラグイン構成を読み取ろうとし、システム内部の情報を引き出そうとする行為。
備考: ファイルの有無を確認するだけでなく、システムのディレクトリ構造を把握しようとする高度な偵察。
侵入に向けた「事前調査」の段階と推測される。
Target IP: 52.243.57.116
Status: Blacklisted (368 hits total)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: wp-includes ディレクトリ以下のシステムファイルおよびディレクトリ構造に対する網羅的な探索。
日本語補足: WordPress のシステム深部にあるファイル群をなめるように走査し
設定ミスによる情報漏洩や脆弱性を探っている。
備考: 複数の管理環境に対して非常に高い頻度でアクセスを繰り返している。ディレクトリ・
リスティングが有効になっていないか、あるいは特定の証明書関連ファイル(.well-known/acme-challenge/)
を悪用できないか試行している。--- Incident Log: 2026-04-08 ---
Target IP: 134.199.168.183
Status: Blacklisted (403/301 detected)
WHOIS Info: DigitalOcean, LLC (DO-13), US, abuse@digitalocean.com, Direct Allocation
Comment: 管理環境内の .git/config に対するスキャン行為。
日本語補足: 開発環境の残骸や、不用意に公開されたリポジトリ設定ファイルの探索。
備考: /.git/config へのアクセスは、リポジトリのメタデータ(ブランチ情報、リモートURL、
場合によっては認証トークン)を奪取し、ソースコード全体を復元しようとする明確な攻撃意図がある。
DigitalOcean のノードを介した、オートメーション化された偵察活動と推測される。
Target IP: 20.234.6.239
Status: Blacklisted (292 hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: WordPress 関連のバックドア(PHPファイル)および管理画面への集中スキャン。
日本語補足: ms-edit.php や fe5.php など、既知の脆弱性や過去に設置された可能性のある不正スクリプトをしらみつぶしに探る試行。
備考: 300回近いリクエストが短時間に行われており、Azure 経由のボットネットによる脆弱性スキャン。
攻撃対象を WordPress に絞り、ファイルシステムへの侵入経路を探っている。
Target IP: 91.239.157.185
Status: Blacklisted (113 hits)
WHOIS Info: Clouvider Limited, Unknown Country, Unknown Abuse Contact, Unknown Type
Comment: wp-includes ディレクトリ以下のシステムファイル群に対する詳細な構造探索。
日本語補足: 複数の管理環境に対して、WordPress の内部構造をなめるように走査している。
備考: 特定のプラグインやテーマの脆弱性を突くための事前調査と思われる。Clouvider
のインフラが悪用されている典型的なパターンだ。--- Incident Log: 2026-04-07 ---
Target IP: 172.71.144.158
Status: 403 (91), 404 (2)
WHOIS Info: Cloudflare, Inc. (CLOUD14), US, abuse@cloudflare.com, Direct Allocation
Comment: 環境変数ファイル(.env)や Git 構成情報の探索。複数の管理環境において、
特定のディレクトリ構造を推測した執拗なスキャンを確認。
Target IP: 20.220.213.131
Status: 301 (191), 404 (161)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: WordPress のバックドア(alfa-rex.php 等)や管理機能を狙った高頻度スキャン。
リダイレクトを多用する挙動が特徴。
Target IP: 20.215.70.55
Status: 301 (86), 404 (86)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: wp_filemanager.php を含むプラグイン脆弱性の探索。前日(04-06)から継続して
高い試行回数を維持しており、執着が強い。
Target IP: 51.103.237.230
Status: 301 (49), 404 (37)
WHOIS Info: Microsoft, ??, One Microsoft Way, Unknown Type
Comment: WordPress プラグイン(hellopress)の脆弱性および内部ライブラリ(Text/Diff 等)
への網羅的なアクセス試行。--- Incident Log: 2026-04-06 ---
Target IP: 20.215.70.55
Status: 404, 301 (Total: 172 Hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: 複数の管理環境に対して、非常に高い頻度でPHPシェルや特定のWordPressプラグイン(hellopress等)
の脆弱性を狙ったスキャンを試行。攻撃の試行回数が突出しており、今回のブラックリスト登録における最優先対象。
Target IP: 62.197.156.35
Status: 404, 301, 403 (Total: 35 Hits per site)
WHOIS Info: Unknown Org, LK (Sri Lanka), Unknown Type
Comment: xmlrpc.php への攻撃や、WordPress/Joomla! の管理画面(/administrator/)のパスを執拗に探索。
攻撃対象のディレクトリ構造を推測しながら横断的にスキャンする、偵察型の挙動が特徴。
Target IP: 52.243.57.116
Status: 403 (Total: 142 Hits)
WHOIS Info: Microsoft Corporation (MSFT), US, abuse@microsoft.com, Direct Allocation
Comment: .well-known や wp-includes といった、サーバーのシステム構成や証明書情報、
内部ライブラリが露出していないかをチェックする網羅的なスキャン。403で遮断できているが、
インフラ構造を把握しようとする意図が見える。--- Incident Log: 2026-04-05 ---
Target IP: 158.158.32.192
Status: 404, 301 (Hit: 44 lines)
WHOIS Info (Org, Country, Abuse Contact, Type): APNIC, AU,
search-apnic-not-arin@apnic.net, Early Registrations
Comment: 複数の管理環境に対し、wp_filemanager.php や Jcrop.php など、
バックドアの設置や既知の脆弱性を突くファイルを標的とした執拗なスキャン。
Target IP: 20.194.4.154
Status: 404, 403 (Hit: 43 lines)
WHOIS Info (Org, Country, Abuse Contact, Type): Microsoft Corporation (MSFT),
US, abuse@microsoft.com, Direct Allocation
Comment: 複数の管理環境において、WordPress の内部構造(wp-includes)やテーマディレクトリを
網羅的に探索。情報の露出を狙った偵察活動。
Target IP: 4.225.160.61
Status: 404, 301 (Hit: 172 lines)
WHOIS Info (Org, Country, Abuse Contact, Type): Microsoft Corporation (MSFT),
US, abuse@microsoft.com, Direct Allocation
Comment: 複数の管理環境に対し、短時間で 170 回を超える異常な頻度でアクセス。
高負荷な自動スキャンによる脆弱性調査。
Target IP: 52.243.57.116
Status: 404, 301 (Hit: 35 lines)
WHOIS Info (Org, Country, Abuse Contact, Type): Microsoft Corporation (MSFT),
US, abuse@microsoft.com, Direct Allocation
Comment: /wp-admin/user や cgi-bin などを探索。サーバー設定やユーザー情報の取得を目的とした広範な偵察。
Target IP: 62.197.156.35
Status: 404, 301, 403 (Hit: 35 lines)
WHOIS Info (Org, Country, Abuse Contact, Type): Unknown Org,
Sri Lanka, Unknown, Unknown Type
Comment: サブディレクトリ(/v1/, /main/ 等)にある xmlrpc.php や管理画面を狙ったスキャン。
構造を推測した標的型攻撃。
本日のログにおける最大の特徴は、Microsoft (Azure) の IP 群による非常に高いスキャン頻度である。
特に 4.225.160.61 は単一の環境に対して短時間で 172 回ものアクセスを試行しており、
クラウドプラットフォームの計算リソースを悪用した、絨毯爆撃的な脆弱性診断が行われている実態が浮き彫りとなった。
また、158.158.32.192 のスキャンリストには、古いものから比較的新しいものまで多様なプラグインの
脆弱性攻撃が含まれており、攻撃の執拗さが際立っている。しかしながら、全リクエストにおいて
404(Not Found)や 403(Forbidden)が返されており、現在導入されている 「VPN 経由のみ許可するホワイトリスト方式」
および 「.htaccess による IP ブロック」 の多層防御が、意図した通り極めて有効に機能していることが確認された。--- Incident Log: 2026-04-04 ---
Target IP: 20.151.229.110
Status: 404, 403, 301
WHOIS Info (Org, Country, Abuse Contact, Type): Microsoft Corporation (Azure),
USA, abuse@microsoft.com, Data Center
Comment: バックドア(shell.php)やプラグインの脆弱性を狙った執拗な自動スキャン。管理画面(/wp-admin/)
への侵入も試みているが、403 で正しく遮断されている。
Target IP: 82.157.172.195
Status: 200 (POST)
WHOIS Info (Org, Country, Abuse Contact, Type): Alibaba (Beijing)
Technology, China, abuse@aliyun.com, Cloud Provider
Comment: WordPress のログイン試行(wp-login.php)を繰り返している。ブルートフォース攻撃の初期段階と考えられる。
Target IP: 137.220.224.16 (および .15, .7 等の同一セグメント)
Status: 403
WHOIS Info (Org, Country, Abuse Contact, Type): DigitalOcean,
USA, abuse@digitalocean.com, Cloud Provider
Comment: xmlrpc.php へのアクセスを試みている。Pingback 攻撃やブルートフォース攻撃の踏み台にされる可能性があるが、
現在は 403 で防御済み。--- Incident Log: 2026-04-02 ---
Target IP: 162.158.95.233 / 162.158.95.234
Status: 403 Forbidden / 301 Moved Permanently
WHOIS Info: Cloudflare, Inc. (US, abuse@cloudflare.com)
Comment: 複数の管理環境に対して、環境設定ファイル(.env)およびGitリポジトリ(.git)の構造を執拗に探索。
備考:
Cloudflareのプロキシ越し、あるいは同社インフラを利用した攻撃。特定のアプリケーション脆弱性を突くのではなく、
開発者の「置き忘れ」を狙う偵察フェーズの動きだ。特に .env に含まれるAPIキーやDB接続情報の奪取、
.git/config からのソースコード漏洩を狙っており、403を返せている現在の防御設定は極めて有効に機能している
Target IP: 20.203.142.71 / 74.234.75.219 / 74.248.17.99
Status: 404 Not Found / 301 / 403
WHOIS Info: Microsoft Corporation (US, abuse@microsoft.com)
Comment: 複数の管理環境に対し、大量の不審なPHPファイル(z60.php, ws*.php等)へのアクセス試行。
備考:
Azure等のMSインフラを悪用したボットネットによるスキャン。アクセスパスから察するに、過去に流行したウェブシェル
(WeevelyやChina Chopper等)のバックドアが設置されていないか、あるいは脆弱なアップローダーが存在しないかを探っている。
ファイル名が規則的(ws40〜ws86など)なのは、辞書攻撃による総当たりが行われている証拠だ。--- Incident Log: 2026-04-01 ---
1. 環境変数ファイル(.env)および .git ディレクトリの探索
Target IP: 172.70.246.0/24 (代表: 172.70.246.228, .229, .43)
Status: 301, 403, 404
WHOIS Info: Cloudflare, Inc. (US), abuse@cloudflare.com, Direct Allocation
Comment: .env, .env.bak, .env.staging などの環境変数ファイル、および .git/config, .git/index
といった内部情報の窃取を狙った直接的な探索。
備考: 今回のパトロールで最も警戒すべき攻撃。Cloudflare のプロキシを隠れ蓑にし、
複数の管理環境に対して構造的に重要なファイルをピンポイントで狙っている。.htaccess によるアクセス制限が完璧に
機能しており、全て 403/404 で完封していることを確認。リスク低減のため、当該サブネットを広域遮断(/24)する措置を講じた。
2. WordPress 脆弱性およびバックドア設置ファイルの総当たり
Target IP: 72.146.16.175, 20.208.32.234, 98.71.65.172
Status: 301, 403, 404
WHOIS Info: Microsoft Corporation (US), abuse@microsoft.com, Direct Allocation
Comment: hellopress/wp_filemanager.php 等のプラグイン脆弱性、および zlnckdxn.php
といったランダム生成されたバックドア用ファイルへのアクセス試行。
備考: Azure のインフラを悪用した大規模なボットスキャン。リクエスト数は 700 件を超えており、
既知の脆弱性パスを片っ端から叩く機械的な総当たり攻撃。管理環境に WordPress の痕跡がないか、
あるいは既にバックドアが設置されていないかを調査しているものと推測される。
3. CMS 初期設定ファイルおよび管理ディレクトリの探索
Target IP: 170.64.171.221, 74.248.131.153
Status: 301, 403, 404
WHOIS Info: DigitalOcean, LLC (US) / Microsoft Corporation (US), Direct Allocation
Comment: /wp-admin/install.php や admin.php, backup.php など、CMS のセットアップ段階や管理画面の
出を狙った偵察。
備考: サイト構築時の「消し忘れ」や「デフォルト設定」を突こうとする古典的かつ執拗な攻撃。特に /web/ や /backup/
といったディレクトリ名を推測して再帰的にスキャンを行っている。攻撃者の意図は特権アクセスの奪取であり、
多層防御によるパス秘匿が有効に機能している。The SysAdmin’s Conclusion
これら全てのIPはデータセンター由来であり、一般ユーザーの正当なアクセスとは見なし得ない。POSIXが守る「自由」とは、法と規約(Protocol)を遵守する者のためにある。境界線を明確に引くことで、システムの健全な血流を守り続ける。
Signal to Noise Ratio|静寂を乱す「招かれざる客」の記録
PCfan
Abusive Bot / Malicious IP Address List | PCfan
このページは、当サーバーに対して不正アクセスや脆弱性スキャンを試みた悪質なボットおよびIPアドレスの公開ログです。 私たちは正規ユーザーの安全とシステムの完全性を...
-
POSIXの肖像:第2回「Gimme Shelter :32個のスイッチと境界線」| UNIX Cafe
-
サーバー移行の罠:WordPressに現れた「1バイトの亡霊」と、wp-cliによる掃討作戦 | UNIX Cafe
この記事を書いた人
Created by UNIX Cafe
