序文
こんにちは、ラチェです。
過去、自分のサイトでWPでサイトを公開していました。
今は、静的ページだけになっているのですが、過去よく来ていた攻撃を
アクセスログから読み取ってみます。
アクセスログにはいろいろ有用な情報があるので、ぜひ読んでみることをおすすめします。
攻撃1:pmaがある場所を探索しに来ている
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:11:08 +0900] "GET /phpmyadm1n/index.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:11:08 +0900] "GET /phpMyAdm1n/index.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:11:10 +0900] "GET /phpMyAdmin123/index.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
たとえば、これはphpmyadminの場所を探しているログ。
(phpmyadminは、グラフィカルにmysqlを操作できるツール)
対策
phpmyadminなどのツールは、分かりやすい名前にしない。
(そもそも置かないことが望ましい)
攻撃2:webshellを探索しに来ている
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:10:21 +0900] "POST /aa.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:10:19 +0900] "POST /777.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:10:00 +0900] "POST /zuoshss.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0""
webshellとは、バックドアみたいなもの。
不正にアップロードしたプログラムを中継し、悪いことする。
対策
本番サイトのディレクトリを逐一確認する
(変なものが上がってないか見る)
攻撃3:脆弱性を突いた攻撃
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:09:35 +0900] "GET /plugins/weathermap/editor.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:14:09 +0900] "GET /?p=5&kBkf%3D2383%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23 HTTP/1.1" 302 570 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.0.7) Gecko/2009030516 Ubuntu/9.04 (jaunty) Firefox/3.0.7"
上は、weathermapの脆弱性(XSSかな)を突こうとした攻撃。
下のほうは、典型的なSQLインジェクション。
SQLServerとみてxp_cmdshellを実行し、/etc/passwdを搾取する攻撃か?
あとXSSできるかも見ている模様?
対策
脆弱性DBの確認。アプリのバージョンアップ実施(JP-CERTとか定期的に見る。)
パーミッションやDBの権限回りの適切な定義。
攻撃4:IISの脆弱性を突いた攻撃
XXX.XXX.XXX.XXX - - [XX/XXX/Jan/2019:20:16:02 +0900] "PROPFIND / HTTP/1.1" 302 208 "-" "-"
IIS6.0のバッファオーバーフローの脆弱性(CVE-2017-7269)かな?
対策
IIS6.0はWindows Sever 2003 R2に入ってたはず。
サポートは終了してるのでパッチは絶望的。
早く新しいサーバに公開すること。
攻撃5:アプリケーションレイヤースキャナー
"XXX.XXX.XXX.XXX - - [24/Jan/2019:08:55:54 +0900] "GET / HTTP/1.1" 200 3945 "-" "Mozilla/5.0 zgrab/0.x""
攻撃じゃないけど一応。
攻撃6:ポートスキャン
XXX.XXX.XXX.XXX - - [14/Nov/2019:10:24:07 +0900] "GET / HTTP/1.0" 301 217 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
masscanっていうポートスキャナー使ってるらしいですね。
UAにmasscan入ってたらはじく対応で行けるかなぁ。
おわりに
今現在はこんな感じ。
今後、面白そうな攻撃が来たらさらし上げようかなと思います。
https://github.com/topics/exploitation こんなのを見て、勉強するのもありかも。
あと、他の人のサーバに対して悪用すると、捕まるのであくまでも検証するなら自分のローカルとかで