ハニーレポート

ハニーポット観測レポートを中心に書いていきます。

正常に応答しなかったログの分析

今日はアクセスログの中で正常応答しなかったログを抽出して、1つのログをピックアップして分析します。

アクセスログの中でHTTPのレスポンスコード200以外の応答をgrepで抽出します。[1]

コマンドは以下

cat access_log | grep -v 200

結果例

f:id:darjring:20220211005119p:plain

たくさんの正常でない応答が抽出されましたw
どんだけ不正のリクエストくるのよwww

抽出したログの中で1番下のログを分析します。

/manager/html HTTP/1.1 401と出ていますので認証が必要とこちらから返しています。
/manager/htmlとにGETを送ってることから管理者でログインしようと試みてるかもしれませんね。

base64エンコードします。

echo "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" | base64 -d

 

結果

Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, */*

Accept-Language: en-us

User-Agent: Mozilla/5.0 Gecko/20100101

Accept-Encoding: gzip, deflate

Host: XXX.XXX.XXX.XXX

Connection: Keep-Alive

Authorization: Basic Z3Vlc3Q6c2VydmVy

さまざまなイメージファイル、アプリケーションをgzip、deflate圧縮アルゴリズムで送りつける感じでしょうか・・・
x-shoskwave-flashはすでにサポート終了したフラッシュプレイヤーです。
サポート切れのアプリを入れさせて脆弱性をつく感じかな?
ConnectionがKeep-Aliveというのもコネクションを保ち続けるようにしていますね。
[3]

最後はBASIC認証ですね。
Basicの後の文字列はなんでしょう・・・

でたらめでしょうか?

色々攻撃が来てるので引き続きログレポートしていきたいと思います。

 

参考文献
[1]

digitalidentity.co.jp

[2]

 

[3]

milestone-of-se.nesuke.com