13
9

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

毎日来るweb攻撃と対策

Last updated at Posted at 2019-01-25

序文

こんにちは、ラチェです。
過去、自分のサイトでWPでサイトを公開していました。
今は、静的ページだけになっているのですが、過去よく来ていた攻撃を
アクセスログから読み取ってみます。
アクセスログにはいろいろ有用な情報があるので、ぜひ読んでみることをおすすめします。

攻撃1:pmaがある場所を探索しに来ている

access.log
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:11:08 +0900] "GET /phpmyadm1n/index.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:11:08 +0900] "GET /phpMyAdm1n/index.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:11:10 +0900] "GET /phpMyAdmin123/index.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"

たとえば、これはphpmyadminの場所を探しているログ。
(phpmyadminは、グラフィカルにmysqlを操作できるツール)

対策

phpmyadminなどのツールは、分かりやすい名前にしない。
(そもそも置かないことが望ましい)

攻撃2:webshellを探索しに来ている

access.log
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:10:21 +0900] "POST /aa.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:10:19 +0900] "POST /777.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:10:00 +0900] "POST /zuoshss.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"" 

webshellとは、バックドアみたいなもの。
不正にアップロードしたプログラムを中継し、悪いことする。

対策

本番サイトのディレクトリを逐一確認する
(変なものが上がってないか見る)

攻撃3:脆弱性を突いた攻撃

access.log
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:09:35 +0900] "GET /plugins/weathermap/editor.php HTTP/1.1" 302 208 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
XXX.XXX.XXX.XXX - - [XX/XXX/2019:14:14:09 +0900] "GET /?p=5&kBkf%3D2383%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23 HTTP/1.1" 302 570 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.0.7) Gecko/2009030516 Ubuntu/9.04 (jaunty) Firefox/3.0.7"

上は、weathermapの脆弱性(XSSかな)を突こうとした攻撃。
下のほうは、典型的なSQLインジェクション。
SQLServerとみてxp_cmdshellを実行し、/etc/passwdを搾取する攻撃か?
あとXSSできるかも見ている模様?

対策

脆弱性DBの確認。アプリのバージョンアップ実施(JP-CERTとか定期的に見る。)
パーミッションやDBの権限回りの適切な定義。

攻撃4:IISの脆弱性を突いた攻撃

access.log
XXX.XXX.XXX.XXX - - [XX/XXX/Jan/2019:20:16:02 +0900] "PROPFIND / HTTP/1.1" 302 208 "-" "-"

IIS6.0のバッファオーバーフローの脆弱性(CVE-2017-7269)かな?

対策

IIS6.0はWindows Sever 2003 R2に入ってたはず。
サポートは終了してるのでパッチは絶望的。
早く新しいサーバに公開すること。

攻撃5:アプリケーションレイヤースキャナー

access.log

"XXX.XXX.XXX.XXX - - [24/Jan/2019:08:55:54 +0900] "GET / HTTP/1.1" 200 3945 "-" "Mozilla/5.0 zgrab/0.x""  

攻撃じゃないけど一応。

攻撃6:ポートスキャン

access.log

XXX.XXX.XXX.XXX - - [14/Nov/2019:10:24:07 +0900] "GET / HTTP/1.0" 301 217 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"

masscanっていうポートスキャナー使ってるらしいですね。
UAにmasscan入ってたらはじく対応で行けるかなぁ。

おわりに

今現在はこんな感じ。
今後、面白そうな攻撃が来たらさらし上げようかなと思います。
https://github.com/topics/exploitation こんなのを見て、勉強するのもありかも。

あと、他の人のサーバに対して悪用すると、捕まるのであくまでも検証するなら自分のローカルとかで

13
9
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
13
9

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?