公開しているwebサーバのログから通常のアクセスではない通信について分析しました。
多かったリクエスト
phpMyAdminのスキャン通信
先月に比べてphpMyAdminのスキャン通信がたくさん飛んできていました。
/phpmyadmin/
/phpmyadmin2018/index.php?lang=en
/phpmyadmin5/index.php?lang=en
/PMA2021/index.php?lang=en
/phpmyadmin2019/index.php?lang=en
/phpmyadmin1/index.php?lang=en
/phpmyadmin/index.php
/db/phpMyAdmin/index.php?lang=en
PHPUnitの脆弱性CVE-2017-9841のスキャン通信
先月に引き続き多かったです。
CVE-2017-9841を悪用したスキャン通信の増加 – wizSafe Security Signal -安心・安全への道標- IIJ
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
thinkPHPの脆弱性を利用した攻撃
よく見る形の攻撃が今月もたくさん来ていました。
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21
/?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=__HelloThinkPHP
laravelの脆弱性を利用した攻撃
詳しくはわからないのですが、laravelの脆弱性をつく際に送られる通信みたいです。
laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129 - Qiita
/_ignition/execute-solution
Xdebugのスキャン通信
PHPのデバッグ用ツールのXdebugにアクセスする通信
/?XDEBUG_SESSION_START=phpstorm
Tomcatのスキャン通信
Tomcatの管理画面にアクセスする通信
/manager/html
WordPressの脆弱性を利用した攻撃
/?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php>
WordPressのスキャン通信
/wp-login.php
/wp-content/plugins/wp-file-manager/readme.txt
/wp/wp-login.php
/wordpress/wp-login.php
/wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php?lang=en
/wp-content/db-cache.php
不審な通信の一覧
| uri | count |
|---|---|
| /phpmyadmin/ | 344 |
| /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 314 |
| /wp-login.php | 226 |
| /sellers.json | 215 |
| /.env | 212 |
| /_ignition/execute-solution | 207 |
| /wp-content/plugins/wp-file-manager/readme.txt | 121 |
| /api/jsonws/invoke | 120 |
| /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 | 118 |
| /console/ | 118 |
| /Autodiscover/Autodiscover.xml | 116 |
| /config/getuser?index=0 | 110 |
| /solr/admin/info/system?wt=json | 80 |
| /wp/wp-login.php | 72 |
| /wordpress/wp-login.php | 72 |
| /blog/wp-login.php | 71 |
| /manager/html | 68 |
| /index.xml | 68 |
| /login | 62 |
| /jenkins/login | 57 |
| /test.php | 44 |
| /?a=fetch&content=die(@md5(HelloThinkCMF)) | 44 |
| /system_api.php | 40 |
| /mifs/.;/services/LogService | 40 |
| /?XDEBUG_SESSION_START=phpstorm | 40 |
| /dns-query?dns=KhUBAAABAAAAAAAAA3d3dwZnb29nbGUDY29tAAABAAE | 33 |
| /contact/ | 33 |
| /1.php | 32 |
| /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f | 30 |
| /owa/ | 30 |
| /actuator/health | 29 |
| /shell.php | 28 |
| /index.php | 28 |
| /HNAP1/ | 28 |
| /phpmyadmin2018/index.php?lang=en | 27 |
| /boaform/admin/formLogin | 27 |
| /?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=__HelloThinkPHP | 27 |
| /GponForm/diag_Form?images/ | 26 |
| /app-ads.txt | 25 |
| /qq.php | 24 |
| mstshash=Administr | 23 |
| /phpmyadmin5/index.php?lang=en | 21 |
| /x.php | 20 |
| /streaming/clients_live.php | 20 |
| /stalker_portal/c/version.js | 20 |
| /stalker_portal/c/ | 20 |
| /cmd.php | 20 |
| /client_area/ | 20 |
| /c/version.js | 20 |
| /PMA2021/index.php?lang=en | 19 |
| /xmlrp.php?url=https://textbin.net/raw/feemcpvmob | 18 |
| /phpmyadmin2019/index.php?lang=en | 18 |
| /phpmyadmin1/index.php?lang=en | 18 |
| /ss.php | 16 |
| /phpmyadmin/index.php | 16 |
| /log.php | 16 |
| /confg.php | 16 |
| /api.php | 16 |
| /2.php | 16 |
| /pmd/index.php | 15 |
| /administrator/web/index.php?lang=en | 13 |
| cdn.jsdelivr.net:443 | 12 |
| /zzz.php | 12 |
| /zxy.php | 12 |
| /z.php | 12 |
| /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php?lang=en | 12 |
| /wp-content/db-cache.php | 12 |
| /test123.php | 12 |
| /stream/live.php | 12 |
| /shopdb/index.php?lang=en | 12 |
| /q.php | 12 |
| /jsc.php | 12 |
| /infos.php | 12 |
| /index.php?3x=3x | 12 |
| /hello.php | 12 |
| /hell.php | 12 |
| /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application | 12 |
| /data/admin/allowurl.txt | 12 |
| /config.php | 12 |
| /conf.php | 12 |
| /aaa.php | 12 |
| /a.php | 12 |
| /1ndex.php | 12 |
| /bag2 | 11 |
| /.well-known/security.txt | 11 |
| /wp-stream.php | 10 |
| /s.php | 10 |
| /new-index.php | 10 |
| /fuck.php | 10 |
| /dns-query?dns=AAABAAABAAAAAAAAA3d3dwViYWlkdQNjb20AAAEAAQ | 10 |
| /c.php | 10 |
| ../../proc/ | 10 |
| /sitemap.xml | 9 |
| /public/.env | 9 |
| /portal/redlion | 9 |
| /hudson | 9 |
| /zxc1.php | 8 |
| /zxc.php | 8 |
| /xx.php | 8 |
| /xiaoxi.php | 8 |
| /xiao.php | 8 |
| /www.php | 8 |
| /ww.php | 8 |
| /vendor/.env | 8 |
| /v.php | 8 |
| /uuu.php | 8 |
| /uu.php | 8 |
| /up.php | 8 |
| /tools.php | 8 |
| /think.php | 8 |
| /test404.php | 8 |
| /system.php | 8 |
| /stream/rtmp.php | 8 |
| /sss.php | 8 |
| /ssaa.php | 8 |
| /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ | 8 |
| /solr/ | 8 |
| /secure.php | 8 |
| /qwq.php | 8 |
| /qqq.php | 8 |
| /qiqi.php | 8 |
| /python.php | 8 |
| /ppp.php | 8 |
| /php.php | 8 |
| /paylog.php | 8 |
| /payload.php | 8 |
| /ooo.php | 8 |
| /my.php | 8 |
| /muhstik.php | 8 |
| /mm.php | 8 |
| /lucky.php | 8 |
| /lr.php | 8 |
| /lanyecn.php | 8 |
| /izom.php | 8 |
| /info.php | 8 |
| /help.php | 8 |
| /hack.php | 8 |
| /dns.php | 8 |
| /ddd.php | 8 |
| /db/phpMyAdmin/index.php?lang=en | 8 |
| /data.php | 8 |
| /conflg.php | 8 |
| /code.php | 8 |
