背景
- 保守を行っている案件にて警報が発生したため、ログの調査を行う
- 可能性としてはアプリの不具合か、悪意のある攻撃の可能性がある
- 対応としては、アプリの不具合の場合は即時対応、攻撃の場合は様子をみることにする
攻撃かどうかの判別
例
1.12.123.123 - - [15/Nov/2023:05:30:46 +0900] "GET /hoge/hoge.png HTTP/1.1" 404 8440 "-"
"hogebrowser" "12.12.12.12"
【アクセス元のip】- - 【日付】"【リクエストの種類】/【リクエストパス】【リクエストパラメータ―】
【レスポンスのバイト数】 【リファラー】【ブラウザ名】【ip】
- アクセス元 (例の「1.12.123.123」)
- 案件にもよるがelbを使用している場合、elbのipが表示されるため参考にはならない
- リクエストパス
- 要チェック
- てきとうなパス(正常に使用した際に、使用しないパス)である場合、悪意のあるユーザーの可能性が高い
- 正常なパスが表示されていてもエラーが出ている場合はアプリの問題⇒要修正
- リクエストパラメータ
- 200系、300系は正常。400系、500系はエラーコード
- 今回の例の場合、404となっているためエラー。調査が必要
- レスポンスのバイト数
- 今回見る必要なし
- 数字が表示されるため、リクエストパラメータと混同しないことだけ注意
- リファラー
- 要注意
- 経由したurlを表示している
- 今回の例の場合「-」となっているため、直接urlを入力している
- 普通にアプリを使用していて、url入力をする機会は少ないため、攻撃の可能性がある
- ブラウザ(例の「hogebrowser」)
- 使用しているブラウザ
- chromeやsafariなど
- 海外ブラウザの場合、攻撃の可能性が高い
- 参考程度に考える
- ip
- elbを使用している場合に表示される
- アクセス元のipが表示されるため、elbを使用している場合はこちらをip検索する
- 海外の場合、攻撃の可能性が高い
- 国内からのアクセスで、実際にあった例
- 国内の同じipから何度も攻撃があった
- そのipを調べたところ問題はなかった
- 攻撃のための踏み台にされてしまっている可能性が高い