ハニーポットのログ分析(2019/02/14)
WOWhoneypotの2019/02/14(木) (運用253日目)の簡易分析です。
本日の総アクセス件数は 42件です。送信元IPは27IPでした。
本日のドメイン名でのアクセスは以下です。
5 GET /
3 GET /robots.txt
本日のハンティングログはありません。
本日の主なアクセスは以下です。
・ThinkPHPの脆弱性を突いた攻撃:6件
→3種のアクセスが2IPから来ていました。
うち、1種はPOSTで以下のようなボディ部がありました。
「_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=uname&ipconfig」・Zivif Webの脆弱性(CVE-2017-17106)を狙う攻撃:1件
→約半年ぶりにこの攻撃を検知しました。内容は以下と同一のアクセスでした。
ハニーポットのログ分析(2018/09/23) - S-Owl
新規のアクセスは以下があります。
○「GET /a2billing/customer/templates/default/footer.tpl」:2件
80/tcpと443/tcpで来ています。あまり言っていなかったですが、443ポートはそのまま80にリダイレクトしてログをとっています。
アクセスパスで検索してみると、以下の様なサイトが出てきます。
一番上のリンクがほぼそのままのパスで、これが対象と考えて良さそうです。
FreePBXのモジュールのパスが存在するかの調査行為であり、FreePBXの調査が目的と考えられます。
○「GET /recordings/」:2件
→これは上記のFreePBXと同じIP、同じUAでのアクセスです。
同じ目的である可能性を考え、以下の様に調査しました。
FreePBXにはrecordingsというパスがあるようです。つまり、先に説明したパスとこのパス、2つのパスを調べることでFreePBXかどうかをより正確に判断しようとしたものと考えられます。
○「GET /%5ccgi-bin/get_status.cgi」:1件
→User-Agent: UrlTest
そのまま調べても、同様のアクセスログが残っているものしか見つかりません。
余談ですが、たまにアクセスパスを調べると、Yii DebuggerやWebalizer Xtended等によって、アクセスログがWeb上に公開されているものに出くわすことがあります。同時期に他のサイトにもアクセスがあったか、という観点でハニーポッターとしての調査には役に立つのですが、こういうものは本来であれば公開されないようにしておくべきものと思います。
さて、URLdecodeすると、%5c→\ですので、それを除外して検索します。
ついでに、inurl:を付け加えて検索することで、うっかり攻撃者が探したかったものが見つかりました。
パスを削ってアクセスしてみると、何種類かのIP Cameraのログイン画面が出てきました。
exploit-dbにはApexis IP Cameraの情報公開の脆弱性として掲載されていました。恐らくはこのApexis社の製品がSumpple等の他社でも販売されているものと思われます。
以下が全アクセスログです。
件数 | 日付 | 種別 | リクエスト |
27 | 2019-02-14 | アクセス | GET / |
3 | 2019-02-14 | クローリング | GET /robots.txt |
2 | 2019-02-14 | ThinkPHPの脆弱性を突いた攻撃 | POST /TP/public/index.php?s=captcha |
2 | 2019-02-14 | ThinkPHPの脆弱性を突いた攻撃 | GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars0]=phpinfo&vars1]]=1 |
2 | 2019-02-14 | ThinkPHPの脆弱性を突いた攻撃 | GET /TP/public/index.php |
2 | 2019-02-14 | FreePBXの調査 | GET /recordings/ |
2 | 2019-02-14 | FreePBXの調査 | GET /a2billing/customer/templates/default/footer.tpl |
1 | 2019-02-14 | Zivif Webの脆弱性(CVE-2017-17106)を狙う攻撃 | GET /web/cgi-bin/hi3510/param.cgi?cmd=getp2pattr&cmd=getuserattr |
1 | 2019-02-14 | Apexis IP Cameraの調査 | GET /%5ccgi-bin/get_status.cgi |
以上です。