ハニーポット観察日記(2019/01/21)
はじめに
こんにちは。cute_otterです。
Cowrieのログの簡易分析ですが、ここ最近安定してログが取れていない状況が続いているので、安定するまでしばらくお休みします。すみません。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/21 (月) 00:00~23:59 UTC(運用18日目)に取得したログの簡易分析です。
特徴
- Hadoop YARN ResourceManagerの探査を初めて観測しました。
概況
- 集計期間 : 2019/01/21 (月) 00:00~23:59 UTC
- 総アクセス件数 : 218 件 (前日比 -222 件)
- WebShellの探査 : 92 件
- phpMyAdminの探査 : 69 件
- トップページへのアクセス : 29 件
- Tomcatの管理ページに対するログイン試行 : 18 件
- Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 : 2 件
- Hadoop YARN ResourceManagerの探査(参照) : 1 件
- WebDAVの探査 : 2 件
- WordPressのコンフィグファイルの探査 : 1 件
- Network Weathermapの探査 : 1 件
- WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 : 1 件
- 不明 : 1 件
- ユニークIPアドレス件数 : 33 件 (前日比 -2 件)
- アクセス元の国数 : 15 カ国 (前日比 -7 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | China | 179 | 1. | 406 | -227 | - |
| 2. | Thailand | 11 | - | 0 | +11 | - |
| 3. | Russia | 5 | 4. | 2 | +3 | - |
| 4. | Turkey | 4 | - | 0 | +4 | - |
| 5. | Brazil | 4 | 2. | 11 | -7 | - |
| 6. | United States | 3 | 3. | 3 | +-0 | - |
| 7. | Spain | 2 | - | 0 | +2 | - |
| 8. | Slovakia | 2 | - | 0 | +2 | - |
| 9. | Indonesia | 2 | 22. | 1 | +1 | - |
| 10. | Iraq | 1 | - | 0 | +1 | - |
| 11. | Singapore | 1 | - | 0 | +1 | - |
| 12. | Greece | 1 | 8. | 1 | +-0 | - |
| 13. | India | 1 | 7. | 1 | +-0 | - |
| 14. | Philippines | 1 | - | 0 | +1 | - |
| 15. | South Africa | 1 | - | 0 | +1 | - |
- 中国からのアクセス件数が前日より約200件減少しました。
アクセス先
アクセス先(上位20位+気になったもの)は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | トップページへのアクセス | GET / HTTP/1.1 | 27 | 1. | 26 | +1 |
| 2. | Tomcatの管理ページに対するログイン試行 | GET /manager/html HTTP/1.1 | 18 | 2. | 18 | +-0 |
| 3. | WebShellの探査 | POST /qq.php HTTP/1.1 | 3 | 4. | 5 | -2 |
| 4. | Microsoft IIS 6.0の脆弱性(CVE-2017-7269)を利用した攻撃 | PROPFIND / HTTP/1.1 | 2 | 18. | 2 | +-0 |
| 5. | WebDAVの探査 | GET /webdav/ HTTP/1.1 | 2 | 19. | 2 | +-0 |
| 6. | WebShellの探査 | GET /cmd.php HTTP/1.1 | 2 | 6. | 4 | -2 |
| 7. | WebShellの探査 | POST /xx.php HTTP/1.1 | 2 | 7. | 4 | -2 |
| 8. | WebShellの探査 | POST /conflg.php HTTP/1.1 | 2 | 8. | 4 | -2 |
| 9. | WebShellの探査 | POST /q.php HTTP/1.1 | 2 | 9. | 4 | -2 |
| 10. | phpMyAdminの探査 | GET /web/phpMyAdmin/index.php HTTP/1.1 | 2 | 12. | 3 | -1 |
| 11. | phpMyAdminの探査 | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 2 | 13. | 3 | -1 |
| 12. | phpMyAdminの探査 | GET /tools/phpMyAdmin/index.php HTTP/1.1 | 2 | 15. | 3 | -1 |
| 13. | phpMyAdminの探査 | GET /claroline/phpMyAdmin/index.php HTTP/1.1 | 2 | 16. | 3 | -1 |
| 14. | phpMyAdminの探査 | GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 | 2 | 17. | 3 | -1 |
| 15. | Hadoop YARN ResourceManagerの探査(参照) | POST /ws/v1/cluster/apps/new-application HTTP/1.1 | 1 | - | 0 | +1 |
| 16. | 不明 | GET hxxp://5[.]188[.]210[.]12/echo.php HTTP/1.1 | 1 | - | 0 | +1 |
| 17. | WebShellの探査 | GET /help.php HTTP/1.1 | 1 | 20. | 2 | -1 |
| 18. | WebShellの探査 | GET /test.php HTTP/1.1 | 1 | 22. | 2 | -1 |
| 19. | WebShellの探査 | GET /db_cts.php HTTP/1.1 | 1 | 23. | 2 | -1 |
| 20. | phpMyAdminの探査 | GET /db_pma.php HTTP/1.1 | 1 | 24. | 2 | -1 |
| ... | ... | ... | ... | ... | ... | ... |
| 33. | WordPressのコンフィグファイルの探査 | GET /wp-config.php HTTP/1.1 | 1 | 39. | 2 | -1 |
| ... | ... | ... | ... | ... | ... | ... |
| 47. | Network Weathermapの探査 | GET /cacti/plugins/weathermap/editor.php HTTP/1.1 | 1 | 181. | 1 | +-0 |
| ... | ... | ... | ... | ... | ... | ... |
| 160. | WordPress用のPortable phpMyAdminの脆弱性(CVE-2012-5469)を利用した攻撃 | GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1 | 1 | 162. | 2 | -1 |
- Hadoop YARN ResourceManagerの探査を初めて観測しました。
- レスポンスボディに
application-idが含まれていると、攻撃(コマンドの実行)に繋がると思われます。(参照)
- レスポンスボディに
Hadoop YARN ResourceManagerの探査のHTTPリクエストは以下の通りです。
POST /ws/v1/cluster/apps/new-application HTTP/1.1 Host: xxx.xxx.xxx.xxx User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Connection: Close Content-Type: application/json Content-Length: 0
WOWHoneypotで取得したログの簡易分析は以上です。
