honey potの簡易解析1日目

base64をデコードする作業が苦行だったので、昨日作ったスクリプトにデコードする機能をつけてメール飛ばすようにしました。

1つずつ、”これはこれで、こうなってます!”は続かないので、メール眺めて気になったものをblogに書いていく事にします。

2019-04-01のアクセス数は58件でした。

■送信元IPアドレスの数は 51件です。

■メソッドの種別は以下です。

GET・・54件
PUT・・0件
POST・・0件
HEAD・・1件
CONNECT・・3件
PROFFIND・・0件
その他・・0件

■hunting.logは生成されていません。

■送信元IPアドレスの一覧は以下となります。

[‘183.191.187.12’, ‘36.71.51.23’, ‘189.46.89.55’, ‘106.45.1.80’, ‘188.170.34.13’, ‘194.141.252.13’, ‘188.65.232.37’, ‘31.134.164.43’, ‘222.82.54.18’, ‘185.173.35.53’, ‘139.162.106.18’, ‘180.92.231.82’, ‘122.10.112.17’, ‘47.105.59.18’, ‘132.232.59.17’, ‘80.23.105.54’, ‘106.114.64.17’, ‘109.242.198.85’, ‘193.112.73.10’, ‘188.214.39.95’, ‘156.238.128.22’, ‘82.137.217.15’, ‘178.73.215.17’, ‘188.72.7.20’, ‘158.174.19.6’, ‘27.156.88.25’, ‘92.118.160.61’, ‘77.159.75.24’, ‘117.43.152.34’, ‘5.2.70.27’, ‘197.51.12.26’, ‘43.224.116.6’, ‘103.253.150.13’, ‘172.104.108.10’, ‘177.105.227.62’, ‘41.205.25.23’, ‘184.105.139.69’, ‘66.102.6.16’, ‘60.13.138.52’, ‘124.88.64.22’, ‘107.170.203.10’, ‘34.229.124.24’, ‘61.160.236.77’, ‘103.60.182.23’, ‘198.199.103.65’, ‘91.147.216.16’, ‘60.191.52.25’, ‘203.207.57.10’, ‘60.191.38.77’, ‘200.168.77.62’, ‘43.229.93.12’]

気になるlog

3件目。UAにご丁寧に記載してくれている。IoT機器の調査だそう。

[2019-04-01 01:06:39+0900] 92.118.160.61 blank:80 “GET / HTTP/1.0” 200 False GET / HTTP/1.0<br> User-Agent: NetSystemsResearch studies the availability of various services across the internet. Our website is netsystemsresearch.com<br> Accept: <em>/</em>

12件目。これも調査っぽい。中国なのがちょっと気になる・・

[2019-04-01 06:07:05+0900] 139.162.106.181 <a rel="noreferrer noopener" href="http://133.167.108.152/" target="_blank">ほげ:80</a> “GET / HTTP/1.1” 200 False    GET / HTTP/1.1 Host: ほげ User-Agent: HTTP Banner Detection (<a rel="noreferrer noopener" href="https://u7732153.ct.sendgrid.net/wf/click?upn=bqxYz7qSN1QTBr2L5IbemGaZj-2F4RDxx-2Bxp0A53mD7-2FsjDjE7QE5i3GUyWVCz-2FKba_-2FZkTq2mv6H8YN-2FwUFNwGyl-2Bqe-2F-2Bs77OZ3ZbPM6-2BHDaxHpuCvcgeni9VrHEF-2BawuDNLndsiAHlzQpm8KQvducO54nWIkMZlD3kNidRwYmIJC5kUk5di2xJCEFwOs-2FlCg51xLu6vgChqjOlHgz5zxd-2F56rhaX1DMFwH2JBBiy-2FjWvNKiksTpwC4UlMXuzyrVKRNu49USfPIxBbqOxGMbqeKnCm4gu-2FkG3W61k5IFMdd94-3D" target="_blank">https://security.ipip.net</a>) Connection: close

28~30件目。D-Link製品を狙った攻撃の偵察?がきていた。これっす。

https://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-001662.html

JVNDB-2017-001662
D-Link DIR-850L にバッファオーバーフローの脆弱性

32件目。謎。BS_REAL_IPを何回もデコードすると、”60.191.52.254,112.17.125.180”になる。

HEAD <a rel="noreferrer noopener" href="https://u7732153.ct.sendgrid.net/wf/click?upn=WVBWAEz-2FYErm1hPCspzwWL11SPylNq7R-2Ftg4ddYGvHTVKsWjZg2BCiJdUZId-2FZTq_-2FZkTq2mv6H8YN-2FwUFNwGyl-2Bqe-2F-2Bs77OZ3ZbPM6-2BHDaxHpuCvcgeni9VrHEF-2BawuDOBX0PN1Pa6GoeMKNjldMwGYR24tXNpwE84Xkm8GtaGot1zLx1sI0AOMMt2RDAt-2BoOWQCXaAfWOOjj0hJUG4C1wit5jPMztswIJtZiwhV-2BtQJrvpU1t2c0LP5EwjXC064F-2BN4WZsYdSuuYfFQCVh7Buja4XC8mOfcnfu0sZNlpQc-3D" target="_blank">http[:]//112.124.42.80:63435/</a> HTTP/1.1 Accept-Encoding: gzip User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36 BS_REAL_IP: TmpBdU1Ua3hMalV5TGpJMU5Dd3hNVEl1TVRjdU1USTFMakU0TUE9PQ== Host: <a rel="noreferrer noopener" href="http://112.124.42.80:63435/" target="_blank">112.124.42.80:63435</a> Accept: text/html, image/gif, image/jpeg, <strong>; q=.2, */</strong>; q=.2 Proxy-Connection: keep-alive

不正中継の調査。最初なぜ?と思ったが、調べると多くのハニーポッターの記事が見つかる。おもしろいな〜

[2019-04-01 13:33:17+0900] 60.13.138.52 <a rel="noreferrer noopener" href="http://www.baidu.com/" target="_blank">www.baidu.com:80</a> “CONNECT <a rel="noreferrer noopener" href="http://www.baidu.com/" target="_blank">www.baidu.com</a> HTTP/1.1” 200 False CONNECT <a rel="noreferrer noopener" href="http://www.baidu.com/" target="_blank">www.baidu.com</a> HTTP/1.1 Host: <a rel="noreferrer noopener" href="http://www.baidu.com/" target="_blank">www.baidu.com</a> Proxy-Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.132 Safari/537.36

本日は以上です。D-Link周りをチューニングすれば、バックドア等を仕込んでもらえるのではないかと思いました。