セキュリティ系の勉強、その他開発メモとか雑談. GithubはUnity触っていた頃ものがメイン Twitterフォローもよろしくです

dionaeaのログをちょっと見てみる1

初めに

ログを見たり、知識なんてものもない人がゆっくりとログを見ていくだけです。間違ってることの方が多いかもですが、こういうことで慣れていかないといつまで経っても進まないので、、とりあえずhttpの通信記録を少し見てみる。



1

/opt/dionaea/var/dionaea/bistreams/2018-09-11$ ls | grep "httpd-80-71"
httpd-80-71.6.146.185-gdpfCn
httpd-80-71.6.146.185-SicSdW
httpd-80-71.6.146.185-Tfjw9v
httpd-80-71.6.146.185-v10Uxj
httpd-80-71.6.146.185-xc5qWP

とりあえずこの一連のログを見てみます。

stream = [('in', b'GET /sitemap.xml HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept-Encoding: identity\x0d\x0a\x0d\x0a'),
stream = [('in', b'GET /robots.txt HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept-Encoding: identity\x0d\x0a\x0d\x0a'),
stream = [('in', b'GET / HTTP/1.1\x0d\x0aAccept-Encoding: identity\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\x0d\x0aUser-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36\x0d\x0a\x0d\x0a'),
stream = [('in', b'GET /favicon.ico HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aConnection: keep-alive\x0d\x0aAccept-Encoding: gzip, deflate\x0d\x0aAccept: */*\x0d\x0aUser-Agent: python-requests/2.10.0\x0d\x0a\x0d\x0a'),
stream = [('in', b'GET /.well-known/security.txt HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept-Encoding: identity\x0d\x0a\x0d\x0a'),

sitemap.xml はクローラへのサイトマップ
robots.txtクローラーのwebアクセスの制限をかけるファイルで、制限したい所のパスを書いたりする。
./well-known/security.txt は脆弱性発見時の通知先を各場所らしい。
https://securitytxt.org


なんか攻撃前の下見をされている感じですかね?きっとこの手のアクセスは今後たくさん見そう。


2

stream = [('in', b'GET /manager/html HTTP/1.1\x0d\x0aContent-Type: text/html\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept: text/html, */*\x0d\x0aUser-Agent: Mozilla/3.0 (compatible; Indy Library)\x0d\x0aAuthorization: Basic Og==\x0d\x0a\x0d\x0a'),

/manager/htmlはTomcatのWebアプリケーションマネージャを使用する際にアクセスする場所。これ以外にも何個か見受けられた。今回、404で弾いちゃっているけれど、正規ではBASIC認証のダイアログが出るらしい。これいい感じに返せてたら、ログインパスワードの攻撃とか受けれそう。

3

stream = [('in', b'OPTIONS /ipc$ HTTP/1.1\x0d\x0aConnection: Keep-Alive\x0d\x0aUser-Agent: Microsoft-WebDAV-MiniRedir/6.1.7601\x0d\x0atranslate: f\x0d\x0aHost: 160.16.62.85\x0d\x0a\x0d\x0a')


/ipc$にアクセスしてる。IPCとは(Inter-Process Communication、プロセス間通信)。

Windowsネットワークにおいて、そのマシンの公開リソースの一覧を取得したり、以後のリソースの使用に対する準備(「SMBのセッション・セットアップ」という。SMBとは、Server Message Blockの略で、Windowsネットワークにおけるファイル共有プロトコルのこと)を行うために使われるものであり、リソース(ファイルやプリンタ)を公開しているマシンは必ずこのリソースを持っている。
http://www.atmarkit.co.jp/fwin2k/win2ktips/117ipcpassword/117ipcpassword.html

とのこと。これもおそらく攻撃前の準備段階なのでしょう。いい感じで返せばそのあとの攻撃も来るんでしょうね。できないけど笑

まとめ

書いてないけどルートのページにアクセスするだけの通信が半分ほどあった。慣れてきたらこういうちまちました調べ方じゃなくて、統計とかまとめた感じで発信できたらなと思う。