ITオムライス

webサーバのログの分析 4月分

2021-05-01 技術系

公開しているwebサーバのログから通常のアクセスではない通信について分析しました。

多かったリクエスト

phpMyAdminのスキャン通信

先月に比べてphpMyAdminのスキャン通信がたくさん飛んできていました。

/phpmyadmin/
/phpmyadmin2018/index.php?lang=en
/phpmyadmin5/index.php?lang=en
/PMA2021/index.php?lang=en
/phpmyadmin2019/index.php?lang=en
/phpmyadmin1/index.php?lang=en
/phpmyadmin/index.php
/db/phpMyAdmin/index.php?lang=en

PHPUnitの脆弱性CVE-2017-9841のスキャン通信

先月に引き続き多かったです。
CVE-2017-9841を悪用したスキャン通信の増加 – wizSafe Security Signal -安心・安全への道標- IIJ

/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

thinkPHPの脆弱性を利用した攻撃

よく見る形の攻撃が今月もたくさん来ていました。

/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21
/?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=__HelloThinkPHP

laravelの脆弱性を利用した攻撃

詳しくはわからないのですが、laravelの脆弱性をつく際に送られる通信みたいです。
laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129 - Qiita

/_ignition/execute-solution

Xdebugのスキャン通信

PHPのデバッグ用ツールのXdebugにアクセスする通信

/?XDEBUG_SESSION_START=phpstorm

Tomcatのスキャン通信

Tomcatの管理画面にアクセスする通信

/manager/html

WordPressの脆弱性を利用した攻撃

/?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php>

WordPressのスキャン通信

/wp-login.php
/wp-content/plugins/wp-file-manager/readme.txt
/wp/wp-login.php
/wordpress/wp-login.php
/wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php?lang=en
/wp-content/db-cache.php

不審な通信の一覧

uri count
/phpmyadmin/ 344
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 314
/wp-login.php 226
/sellers.json 215
/.env 212
/_ignition/execute-solution 207
/wp-content/plugins/wp-file-manager/readme.txt 121
/api/jsonws/invoke 120
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 118
/console/ 118
/Autodiscover/Autodiscover.xml 116
/config/getuser?index=0 110
/solr/admin/info/system?wt=json 80
/wp/wp-login.php 72
/wordpress/wp-login.php 72
/blog/wp-login.php 71
/manager/html 68
/index.xml 68
/login 62
/jenkins/login 57
/test.php 44
/?a=fetch&content=die(@md5(HelloThinkCMF)) 44
/system_api.php 40
/mifs/.;/services/LogService 40
/?XDEBUG_SESSION_START=phpstorm 40
/dns-query?dns=KhUBAAABAAAAAAAAA3d3dwZnb29nbGUDY29tAAABAAE 33
/contact/ 33
/1.php 32
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f 30
/owa/ 30
/actuator/health 29
/shell.php 28
/index.php 28
/HNAP1/ 28
/phpmyadmin2018/index.php?lang=en 27
/boaform/admin/formLogin 27
/?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=__HelloThinkPHP 27
/GponForm/diag_Form?images/ 26
/app-ads.txt 25
/qq.php 24
mstshash=Administr 23
/phpmyadmin5/index.php?lang=en 21
/x.php 20
/streaming/clients_live.php 20
/stalker_portal/c/version.js 20
/stalker_portal/c/ 20
/cmd.php 20
/client_area/ 20
/c/version.js 20
/PMA2021/index.php?lang=en 19
/xmlrp.php?url=https://textbin.net/raw/feemcpvmob 18
/phpmyadmin2019/index.php?lang=en 18
/phpmyadmin1/index.php?lang=en 18
/ss.php 16
/phpmyadmin/index.php 16
/log.php 16
/confg.php 16
/api.php 16
/2.php 16
/pmd/index.php 15
/administrator/web/index.php?lang=en 13
cdn.jsdelivr.net:443 12
/zzz.php 12
/zxy.php 12
/z.php 12
/wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php?lang=en 12
/wp-content/db-cache.php 12
/test123.php 12
/stream/live.php 12
/shopdb/index.php?lang=en 12
/q.php 12
/jsc.php 12
/infos.php 12
/index.php?3x=3x 12
/hello.php 12
/hell.php 12
/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application 12
/data/admin/allowurl.txt 12
/config.php 12
/conf.php 12
/aaa.php 12
/a.php 12
/1ndex.php 12
/bag2 11
/.well-known/security.txt 11
/wp-stream.php 10
/s.php 10
/new-index.php 10
/fuck.php 10
/dns-query?dns=AAABAAABAAAAAAAAA3d3dwViYWlkdQNjb20AAAEAAQ 10
/c.php 10
../../proc/ 10
/sitemap.xml 9
/public/.env 9
/portal/redlion 9
/hudson 9
/zxc1.php 8
/zxc.php 8
/xx.php 8
/xiaoxi.php 8
/xiao.php 8
/www.php 8
/ww.php 8
/vendor/.env 8
/v.php 8
/uuu.php 8
/uu.php 8
/up.php 8
/tools.php 8
/think.php 8
/test404.php 8
/system.php 8
/stream/rtmp.php 8
/sss.php 8
/ssaa.php 8
/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ 8
/solr/ 8
/secure.php 8
/qwq.php 8
/qqq.php 8
/qiqi.php 8
/python.php 8
/ppp.php 8
/php.php 8
/paylog.php 8
/payload.php 8
/ooo.php 8
/my.php 8
/muhstik.php 8
/mm.php 8
/lucky.php 8
/lr.php 8
/lanyecn.php 8
/izom.php 8
/info.php 8
/help.php 8
/hack.php 8
/dns.php 8
/ddd.php 8
/db/phpMyAdmin/index.php?lang=en 8
/data.php 8
/conflg.php 8
/code.php 8