honey potの簡易解析2日目

■2019-04-02のアクセス数は64件でした。

■送信元IPアドレスの数は 48件です。

■メソッドの種別は以下です。

GET・・61件
PUT・・0件
POST・・0件
HEAD・・2件
CONNECT・・0件
PROFFIND・・0件
その他・・1件

■hunting.logは生成されていません。

■送信元IPアドレスの一覧は以下となります。

[‘92.112.40.25’, ‘143.255.242.15’, ‘95.83.38.16’, ‘3.88.180.42’, ‘185.234.216.24’, ‘66.102.6.51’, ‘177.189.251.16’, ‘62.43.191.38’, ‘66.249.65.15’, ‘213.45.161.8’, ‘45.33.4.59’, ‘195.181.52.16’, ‘137.74.30.6’, ‘170.80.129.11’, ‘58.147.148.98’, ‘71.6.232.4’, ‘92.118.160.57’, ‘177.52.26.60’, ‘191.33.51.47’, ‘191.100.9.95’, ‘184.105.139.67’, ‘201.131.184.79’, ‘103.215.200.11’, ‘175.141.81.15’, ‘190.75.212.92’, ‘187.102.51.12’, ‘187.74.169.65’, ‘177.67.10.2’, ‘103.234.226.10’, ‘194.126.29.23’, ‘216.245.197.25’, ‘189.47.214.91’, ‘119.15.83.12’, ‘66.102.6.49’, ‘52.233.182.21’, ‘61.7.184.92’, ‘46.10.225.99’, ‘59.47.72.10’, ‘119.27.179.20’, ‘60.191.52.25’, ‘92.118.160.9’, ‘222.93.169.12’, ‘159.65.9.63’, ‘198.167.223.52’, ‘186.208.27.21’, ‘196.52.43.10’, ‘36.85.101.86’, ‘186.207.19.18’]

気になるlog

11件目。昨日も来ていた、謎の通信。”BS_REAL_IP”のデコード後は60.191.52.254,112.17.125.180。

BS_REAL_IPは謎だけど、これも不正中継なのかな?

[2019-04-02 05:35:59+0900] 60.191.52.254 112.124.42.80:63435 "HEAD http://112.124.42.80:63435/ HTTP/1.1" 200 1003 
HEAD http://112.124.42.80:63435/ HTTP/1.1 Accept-Encoding: gzip User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36 BS_REAL_IP: TmpBdU1Ua3hMalV5TGpJMU5Dd3hNVEl1TVRjdU1USTFMakU0TUE9PQ== Host: 112.124.42.80:63435 Accept: text/html, image/gif, image/jpeg, ; q=.2, */; q=.2 Proxy-Connection: keep-alive

16件目。phpのWebShell設置の調査。リアクションするような機能追加したいね。他には、”GET /help-e.php”なんかもありました。

[2019-04-02 06:36:34+0900] 198.167.223.52 ほげ:80 “GET /acadmin.php HTTP/1.1” 200 False 
GET /acadmin.php HTTP/1.1 Host: ほげ Connection: close User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5

25件目。googleからのアクセス。

[2019-04-02 11:43:15+0900] 66.249.65.158 ほげ:80 “GET /robots.txt HTTP/1.1” 200 1006 
GET /robots.txt HTTP/1.1 Host: ほげ Connection: keep-alive Accept: text/plain,text/html,*/* User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html) Accept-Encoding: gzip,deflate,br

33件目。認証画面へのアクセス。URI的にtomcatの設定不備を狙っているようです。

2019-04-02 13:50:27+0900] 59.47.72.10 ほげ:8080 “GET /manager/html HTTP/1.1” 401 1032
GET /manager/html HTTP/1.1 Accept: text/html, application/xhtml+xml, / User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0) Host: ほげ:8080 Authorization: Basic Og==

53件目。”muhstik.php”。”muhstik”は中国の攻撃グループだったり、BOTネットの名前との情報が出てくる。感染を調べる調査の通信なのか、BOTの通信なのか、単にwebshell設置調査なのか気になるところ。このIPアドレスから合計6件アクセスがあったので、物色されている模様。

[2019-04-02 22:37:02+0900] 62.43.191.38 ほげ:80 “GET /muhstik.php HTTP/1.1” 200 False 
GET /muhstik.php HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0) Host: ほげ Connection: Keep-Alive Cache-Control: no-cache

56件目。上のIPからのアクセス。はじめてパラメータ付きのlog。THINKPHPという中国で人気のフレームワークだそう。

[2019-04-02 22:38:23+0900] 62.43.191.38 133.167.108.152:80
GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkZ‘ . HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0) Host: 133.167.108.152 Connection: Keep-Alive Cache-Control: no-cache

↓これです。

https://www.exploit-db.com/exploits/45978

本日の解析は以上です。62.43.191.38からの攻撃は感覚が16秒ぐらいだったので、手で実行したのか、script等でインターバルをおいたのか、どっちか判別できないですね。