webサーバのログの分析 5月分

2021-06-13 技術系

公開しているwebサーバのログから通常のアクセスではない通信について分析しました。

多かったリクエスト

PHPUnitの脆弱性

/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

CVE-2017-9841を悪用したスキャン通信の増加 – wizSafe Security Signal -安心・安全への道標- IIJ
CVE - CVE-2017-9841

laravelの脆弱性を利用した攻撃

/_ignition/execute-solution

詳しくはわからないのですが、laravelの脆弱性をつく際に送られる通信みたいです。
laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129 - Qiita

thinkPHPの脆弱性を利用した攻撃

よく見る形の攻撃が今月もたくさん来ていました。

/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21

Wordpress用プラグインFileManagerの脆弱性

/wp-content/plugins/wp-file-manager/readme.txt

Wordpress用プラグインのFileManagerが入っているかの調査通信

UJP - Wordpress 用FileManager の脆弱性やDockerAPI を狙ったアクセスの観測

Office 365を使っているかの調査

/Autodiscover/Autodiscover.xml

Office 365のアクセスログみたいです。

Tomcatのスキャン通信

/manager/html

Tomcatの管理画面にアクセスする通信

Xdebugへのアクセス

/?XDEBUG_SESSION_START=phpstorm

PHPのデバッグ用ツールのXdebugにアクセスする通信

よくわからなかったもの

/api/jsonws/invoke 

不審な通信の一覧

uri count
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 270
/.env 251
/_ignition/execute-solution 211
/wp-login.php 209
/api/jsonws/invoke 113
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 112
/wp-content/plugins/wp-file-manager/readme.txt 110
/console/ 109
/Autodiscover/Autodiscover.xml 106
/app-ads.txt 80
/index.xml 76
/solr/admin/info/system?wt=json 74
/data/admin/allowurl.txt 68
//.env 60
/login 49
/manager/html 48
/config/getuser?index=0 45
mstshash=Administr 40
http://passport.baidu.com/ 40
/jenkins/login 38
/mifs/.;/services/LogService 37
/?a=fetch&content=die(@md5(HelloThinkCMF)) 37
/?XDEBUG_SESSION_START=phpstorm 37
/blog/wp-login.php 35
/wp/wp-login.php 34
/wordpress/wp-login.php 34
/system_api.php 32
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f 30
/boaform/admin/formLogin 30
/owa/ 29
/.well-known/security.txt 29
/0bef 28
/actuator/health 27
/public/.env 25
/administrator/pma/index.php?lang=en 25
/e/data/js/ajax.js 24
/administrator/admin/index.php?lang=en 24
/p431/wp-login.php 23
/PMA/index.php?lang=en 23
/phpmyadmin2018/index.php?lang=en 22
/php-myadmin/index.php?lang=en 22
/vendor/.env 21
/pma2018/index.php?lang=en 21
/phpmyadmin2012/index.php?lang=en 21
/mysqladmin/index.php?lang=en 20
/favicon.png 20
/?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=__HelloThinkPHP 20
/phpmyadmin2013/index.php?lang=en 19
/phpmyadmin2/index.php?lang=en 19
/database/index.php?lang=en 19
/administrator/PMA/index.php?lang=en 19
/_phpmyadmin/index.php?lang=en 19
/sql/websql/index.php?lang=en 18
/sql/sql-admin/index.php?lang=en 18
/pma2021/index.php?lang=en 18
/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application 18
/db/index.php?lang=en 18
/admin/index.php?lang=en 18
/HNAP1/ 18
/sqlmanager/index.php?lang=en 17
/sql/phpmanager/index.php?lang=en 17
/sitemap.xml 17
/pma2011/index.php?lang=en 17
/api/.env 17
/.git/config 17
/tags 16
/streaming/clients_live.php 16
/stream/live.php 16
/stalker_portal/c/version.js 16
/stalker_portal/c/ 16

参考

Webサーバのログに残っているautodiscover.xmlとは何?(2020/4/2補足) – mds tech blog


ブログランキング・にほんブログ村へ follow us in feedly

関連記事

新着記事

comments powered by Disqus