dionaeaのログをちょっと見てみる1
初めに
ログを見たり、知識なんてものもない人がゆっくりとログを見ていくだけです。間違ってることの方が多いかもですが、こういうことで慣れていかないといつまで経っても進まないので、、とりあえずhttpの通信記録を少し見てみる。
1
/opt/dionaea/var/dionaea/bistreams/2018-09-11$ ls | grep "httpd-80-71" httpd-80-71.6.146.185-gdpfCn httpd-80-71.6.146.185-SicSdW httpd-80-71.6.146.185-Tfjw9v httpd-80-71.6.146.185-v10Uxj httpd-80-71.6.146.185-xc5qWP
とりあえずこの一連のログを見てみます。
stream = [('in', b'GET /sitemap.xml HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept-Encoding: identity\x0d\x0a\x0d\x0a'), stream = [('in', b'GET /robots.txt HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept-Encoding: identity\x0d\x0a\x0d\x0a'), stream = [('in', b'GET / HTTP/1.1\x0d\x0aAccept-Encoding: identity\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\x0d\x0aUser-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36\x0d\x0a\x0d\x0a'), stream = [('in', b'GET /favicon.ico HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aConnection: keep-alive\x0d\x0aAccept-Encoding: gzip, deflate\x0d\x0aAccept: */*\x0d\x0aUser-Agent: python-requests/2.10.0\x0d\x0a\x0d\x0a'), stream = [('in', b'GET /.well-known/security.txt HTTP/1.1\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept-Encoding: identity\x0d\x0a\x0d\x0a'),
sitemap.xml はクローラへのサイトマップ。
robots.txt はクローラーのwebアクセスの制限をかけるファイルで、制限したい所のパスを書いたりする。
./well-known/security.txt は脆弱性発見時の通知先を各場所らしい。
https://securitytxt.org
なんか攻撃前の下見をされている感じですかね?きっとこの手のアクセスは今後たくさん見そう。
2
stream = [('in', b'GET /manager/html HTTP/1.1\x0d\x0aContent-Type: text/html\x0d\x0aHost: 160.16.62.85\x0d\x0aAccept: text/html, */*\x0d\x0aUser-Agent: Mozilla/3.0 (compatible; Indy Library)\x0d\x0aAuthorization: Basic Og==\x0d\x0a\x0d\x0a'),
/manager/htmlはTomcatのWebアプリケーションマネージャを使用する際にアクセスする場所。これ以外にも何個か見受けられた。今回、404で弾いちゃっているけれど、正規ではBASIC認証のダイアログが出るらしい。これいい感じに返せてたら、ログインパスワードの攻撃とか受けれそう。
3
stream = [('in', b'OPTIONS /ipc$ HTTP/1.1\x0d\x0aConnection: Keep-Alive\x0d\x0aUser-Agent: Microsoft-WebDAV-MiniRedir/6.1.7601\x0d\x0atranslate: f\x0d\x0aHost: 160.16.62.85\x0d\x0a\x0d\x0a')
/ipc$にアクセスしてる。IPCとは(Inter-Process Communication、プロセス間通信)。
Windowsネットワークにおいて、そのマシンの公開リソースの一覧を取得したり、以後のリソースの使用に対する準備(「SMBのセッション・セットアップ」という。SMBとは、Server Message Blockの略で、Windowsネットワークにおけるファイル共有プロトコルのこと)を行うために使われるものであり、リソース(ファイルやプリンタ)を公開しているマシンは必ずこのリソースを持っている。
http://www.atmarkit.co.jp/fwin2k/win2ktips/117ipcpassword/117ipcpassword.html
とのこと。これもおそらく攻撃前の準備段階なのでしょう。いい感じで返せばそのあとの攻撃も来るんでしょうね。できないけど笑
まとめ
書いてないけどルートのページにアクセスするだけの通信が半分ほどあった。慣れてきたらこういうちまちました調べ方じゃなくて、統計とかまとめた感じで発信できたらなと思う。