セキュリティ系の勉強・その他開発メモとか雑談. Twitter, ブログカテゴリ一覧
本ブログはあくまでセキュリティに関する情報共有の一環として作成したものであり,公開されているシステム等に許可なく実行するなど、違法な行為を助長するものではありません.

dionaeaのログをちょっと見てみる1

ハニーポット 勉強 マルウェア dionaea
//

初めに

ログを見たり、知識なんてものもない人がゆっくりとログを見ていくだけです。間違ってることの方が多いかもですが、こういうことで慣れていかないといつまで経っても進まないので、、とりあえずhttpの通信記録を少し見てみる。



1

/opt/dionaea/var/dionaea/bistreams/2018-09-11$ ls | grep "httpd-80-71"
httpd-80-71.6.146.185-gdpfCn
httpd-80-71.6.146.185-SicSdW
httpd-80-71.6.146.185-Tfjw9v
httpd-80-71.6.146.185-v10Uxj
httpd-80-71.6.146.185-xc5qWP

とりあえずこの一連のログを見てみます。

stream = [('in', b'GET /sitemap.xml HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept-Encoding: identity\x0d\x0a\x0d\x0a'),
stream = [('in', b'GET /robots.txt HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept-Encoding: identity\x0d\x0a\x0d\x0a'),
stream = [('in', b'GET / HTTP/1.1\x0d\x0aAccept-Encoding: identity\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\x0d\x0aUser-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36\x0d\x0a\x0d\x0a'),
stream = [('in', b'GET /favicon.ico HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aConnection: keep-alive\x0d\x0aAccept-Encoding: gzip, deflate\x0d\x0aAccept: */*\x0d\x0aUser-Agent: python-requests/2.10.0\x0d\x0a\x0d\x0a'),
stream = [('in', b'GET /.well-known/security.txt HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept-Encoding: identity\x0d\x0a\x0d\x0a'),

sitemap.xml はクローラへのサイトマップ
robots.txtクローラーのwebアクセスの制限をかけるファイルで、制限したい所のパスを書いたりする。
./well-known/security.txt は脆弱性発見時の通知先を各場所らしい。
https://securitytxt.org


なんか攻撃前の下見をされている感じですかね?きっとこの手のアクセスは今後たくさん見そう。


2

stream = [('in', b'GET /manager/html HTTP/1.1\x0d\x0aContent-Type: text/html\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept: text/html, */*\x0d\x0aUser-Agent: Mozilla/3.0 (compatible; Indy Library)\x0d\x0aAuthorization: Basic Og==\x0d\x0a\x0d\x0a'),

/manager/htmlはTomcatのWebアプリケーションマネージャを使用する際にアクセスする場所。これ以外にも何個か見受けられた。今回、404で弾いちゃっているけれど、正規ではBASIC認証のダイアログが出るらしい。これいい感じに返せてたら、ログインパスワードの攻撃とか受けれそう。

3

stream = [('in', b'OPTIONS /ipc$ HTTP/1.1\x0d\x0aConnection: Keep-Alive\x0d\x0aUser-Agent: Microsoft-WebDAV-MiniRedir/6.1.7601\x0d\x0atranslate: f\x0d\x0aHost: 160.16.62.85\x0d\x0a\x0d\x0a')


/ipc$にアクセスしてる。IPCとは(Inter-Process Communication、プロセス間通信)。

Windowsネットワークにおいて、そのマシンの公開リソースの一覧を取得したり、以後のリソースの使用に対する準備(「SMBのセッション・セットアップ」という。SMBとは、Server Message Blockの略で、Windowsネットワークにおけるファイル共有プロトコルのこと)を行うために使われるものであり、リソース(ファイルやプリンタ)を公開しているマシンは必ずこのリソースを持っている。
http://www.atmarkit.co.jp/fwin2k/win2ktips/117ipcpassword/117ipcpassword.html

とのこと。これもおそらく攻撃前の準備段階なのでしょう。いい感じで返せばそのあとの攻撃も来るんでしょうね。できないけど笑

まとめ

書いてないけどルートのページにアクセスするだけの通信が半分ほどあった。慣れてきたらこういうちまちました調べ方じゃなくて、統計とかまとめた感じで発信できたらなと思う。