www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(2)

Amun を起動して数時間でこんな攻撃を検知しました.

./amun_request_handler.log:2013-10-09 04:xx:xx,728 INFO [amun_request_handler] unknown vuln (Attacker: 222.x.x.x Port: 8080, Mess: [‘GET /manager/html HTTP/1.1\r\nContent-Type: text/html\r\nHost: 133.x.x.x:8080\r\nAccept: text/html, */*\r\nUser-Agent: Mozilla/3.0 (compatible; Indy Library)\r\nAuthorization: Basic Og==\r\n\r\n’] (185) Stages: [‘TIVOLI_STAGE1’])

※一部の情報を意図的に伏せています.

ハニーポットに対して,8080/tcp で接続し,HTTP の GET リクエストで /manager/html にアクセスしていますね.ヘッダには BASIC 認証も入っている.

どうみても Tomcat の設定不備がないかを調査する攻撃通信です.

もし Tomcat が動いていて,設定に不備があると,第三者による不正なファイルのアップロードをされる可能性があります.おそらくアップロードされるのはバックドアプログラムでしょう.こわい

 

参考情報

川口洋のセキュリティ・プライベート・アイズ(15) 狙われる甘~いTomcat 

Tomcatはどこまで“安全”にできるのか?(4):Tomcatのセキュリティとリスクの基本分かってる? (4/4) 

 

※ 脆弱でないかを検査する場合は,自分の管理下にあるサーバに対してのみ実施してください.

Written by 森久

10月 9th, 2013 at 11:19 pm