www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(13)

Web ハニーポットの Glastopf で JBoss ワームの感染活動と考えられる通信を検知しました.

2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //jmx-console/HtmlAdaptor on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //manager/html/upload on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //zecmd/zecmd.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //CluJaNuL/cmd.jsp?cmd=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //wstats/wstats.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //idssvc/idssvc.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //iesvc/iesvc.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //bynazi/cmd.jsp?comment=whoami on x.x.x.x:80

※一部の情報を意図的に伏せています.

今日日,JBoss ワームなんて駆逐されて流行らないだろうと思っていましたが,ここ数日ずっと続いているので取り上げてみました.

1・2行目は感染活動のための予備調査の通信です.これらのファイルが存在する場合,おそらく不審なファイルのアップロードを試みる通信が発生するでしょう.Glastopf ではもちろん JBoss が動いているはずもなく,たとえアップロードを試みられても失敗します.

3行目以降は既に JBoss ワームに感染している Web サーバであった場合に,通常ではバックドアファイルがアップロードされるので,そのバックドアにアクセス可能かどうか調査している通信です.上記のログでは whoami という OS コマンドの実行を試みています.

もう古いバージョンの JBoss を使っていたり,認証が設定されていないファイルのアップロードページ等はほぼ存在しないと思いますが,もし心当たりのある方は一度アクセスログや不審なファイルの存在確認をしてみることをオススメします.

 

参考情報

JBoss ワームに注意(JPCERT/CC)

JBoss Worm Analysis in Details(ERIC ROMANG BLOG)

 

Written by 森久

11月 17th, 2013 at 9:55 pm