ばぁど・うぉっちんぐ

セキュリティを頑張りたいプログラマ。自由と春を求めて羽ばたく渡り鳥。

ばぁどのハニーポット・うぉっちんぐ - 2018/11/10 ~ 2018/11/16 -

定期アウトプットです。

観察期間:2018年 11月10日 00:00:00 - 11月16日 23:59:59

CVE

CVE 検知した回数
CVE-2017-7269 10
CVE-2003-0818 7
CVE-2005-4050 6
CVE-1999-0183 1
CVE-2014-3566 1

以前紹介したCVE記事まとめはこちら

ultrabirdtech.hatenablog.com

攻撃種別

f:id:UltraBirdTech:20181118113444p:plain

攻撃種別 カウント数 %
known attacker 50308 90.72%
bad reputation 3514 6.34%
malware 1234 2.23%
その他 - -

マルウェア

現在、スクリプトを作成中です。 スクリプトがあと一歩で完成します。完成できれば時短できそう。

github.com

取得したマルウェア

これにVIrustotalの結果URLを貼り付けたい。

取得日時 マルウェ名 バイト数
11月 11 03:32 tmp1Q7jBF 625867
11月 11 20:10 tmp9df5pF 625867
11月 12 03:31 tmpC1igwO 625867
11月 12 19:38 tmpApB9Dx 625867
11月 13 03:32 tmp_HKrPu 625867
11月 13 20:13 tmp0f4rsH 625867
11月 14 03:32 tmpLSkNE7 625867
11月 14 20:47 tmpE8bXAp 625867
11月 14 21:05 f72d5721e2246d68faa22ed9fc7a2b903ff95eb2f7047fe79599cf42e772f138 34707
11月 15 03:32 tmpA3Cj85 625867
11月 15 19:36 b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6 4746
11月 15 13:49 tmp8khfH6 625867
11月 16 03:11 tmpZVtSCx 0
11月 16 03:31 tmpM771xe 0
11月 16 03:50 tmpdvxYCI 625867
11月 16 06:13 tmpLZDt81 0
11月 16 21:19 tmpJDc7Zr 0

file コマンド

一応、fileコマンドの結果。

./b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6: Bourne-Again shell script executable (binary data)
./f72d5721e2246d68faa22ed9fc7a2b903ff95eb2f7047fe79599cf42e772f138: a /usr/bin/perl script executable (binary data)
./tmp0f4rsH:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp1Q7jBF:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp8khfH6:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp9df5pF:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpA3Cj85:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpApB9Dx:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpC1igwO:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpE8bXAp:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpJDc7Zr:                                                        empty
./tmpLSkNE7:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpLZDt81:                                                        empty
./tmpM771xe:                                                        empty
./tmpZVtSCx:                                                        empty
./tmp_HKrPu:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpdvxYCI:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

shellscriptとperlスクリプトがありますね。 shellscriptは下記記事と同じものだと言うことを確認。

ultrabirdtech.hatenablog.com

perlの方は初めて置かれることを確認したやつですね。 少し覗いてみましたが、perlがわからないのでちんぷんかんぷん。

ただ、中身を見ると最初のコメントのところでDDosと書かれていたので、DDos攻撃を目的とするマルウェアのようです。

今度perlの勉強がてら再トライしてみようと思います。

所感

今回から、一週間でハニーポットなんの攻撃が多かったかの情報も載せるようにしました。 レポートまとめるなら工数15分くらいで収まる程度にしていきたい。

以上です。