S-Owl

S(ecurity)Owl

WOWHoneypot簡易分析(10日目)

WOWhoneypotの2018/6/13(水)(運用10日目)の簡易分析です。

本日の総アクセス数は291件です。

$ awk '/06-13/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr
148 [2018-06-13 "GET /
74 [2018-06-13 "GET /manager/html
2 [2018-06-13 "HEAD /
2 [2018-06-13 "GET /xampp/phpmyadmin/index.php
2 [2018-06-13 "GET /www/phpMyAdmin/index.php
2 [2018-06-13 "GET /web/phpMyAdmin/index.php
2 [2018-06-13 "GET /typo3/phpmyadmin/index.php
2 [2018-06-13 "GET /pmd/index.php
2 [2018-06-13 "GET /pma-old/index.php
2 [2018-06-13 "GET /pmamy2/index.php
2 [2018-06-13 "GET /pma/index.php
2 [2018-06-13 "GET /PMA2/index.php
2 [2018-06-13 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-13 "GET /phpMyAdminold/index.php
2 [2018-06-13 "GET /phpmyadmin-old/index.php
2 [2018-06-13 "GET /phpMyAdmin/index.php
2 [2018-06-13 "GET /phpMyadmin_bak/index.php
2 [2018-06-13 "GET /phpmyadmin1/index.php
2 [2018-06-13 "GET /phpmyadmin0/index.php
2 [2018-06-13 "GET /phpma/index.php
2 [2018-06-13 "GET /phpadmin/index.php
2 [2018-06-13 "GET /mysql-admin/index.php
2 [2018-06-13 "GET /myadmin/index.php
2 [2018-06-13 "GET /myadmin2/index.php
2 [2018-06-13 "GET /index.php
2 [2018-06-13 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-13 "GET /admin/PMA/index.php
2 [2018-06-13 "GET /admin/pma/index.php
2 [2018-06-13 "GET /admin/phpMyAdmin/index.php
2 [2018-06-13 "GET /admin/phpmyadmin2/index.php
2 [2018-06-13 "GET /admin/mysql/index.php
2 [2018-06-13 "GET /admin/mysql2/index.php
1 [2018-06-13 "PROPFIND /
1 [2018-06-13 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-13 "GET /pma/scripts/setup.php
1 [2018-06-13 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-13 "GET /phpmyadmin/phpmyadmin/index.php
1 [2018-06-13 "GET /myadmin/scripts/setup.php
1 [2018-06-13 "GET /db/index.php
1 [2018-06-13 "GET /dbadmin/index.php
1 [2018-06-13 "GET /admin/index.php

phpMyAdmin関係と思われるものを除きます。

awk '/06-13/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr | grep -v index.php
148 [2018-06-13 "GET /
74 [2018-06-13 "GET /manager/html
2 [2018-06-13 "HEAD /
1 [2018-06-13 "PROPFIND /
1 [2018-06-13 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-13 "GET /pma/scripts/setup.php
1 [2018-06-13 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-13 "GET /myadmin/scripts/setup.php

phpMyAdmin関係はこれまでindex.phpでしたが、本日はsetup.phpへのアクセスも3件ありました。

/wls-wsat/はWeblogic脆弱性をついた攻撃と思いますが、前日と同様の内容でした。

それ以外で多かったのは、以下です。

74 [2018-06-13 "GET /manager/html

これまでもありましたが、Tomcatの管理ツールがあるかの調査行為と思われます。

パケットの内容を見ると、例えば以下です。

GET /manager/html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Authorization: Basic bWFuYWdlcjp0b21jYXQyMDE3 ※manager:tomcat2017
GET /manager/html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Authorization: Basic bWFuYWdlcjp0b21jYXQyMDE4 ※manager:tomcat2018

どうやら管理ページが存在するはずのページにbasic認証ブルートフォースを仕掛けているようです。そのため、アクセス数も多くなっているようです

 

ハンティングログはありませんでした。

 

以上です。