公開しているwebサーバのログから通常のアクセスではない通信について分析しました。
多かったリクエスト
PHPUnitの脆弱性
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
CVE-2017-9841を悪用したスキャン通信の増加 – wizSafe Security Signal -安心・安全への道標- IIJ
CVE - CVE-2017-9841
laravelの脆弱性を利用した攻撃
/_ignition/execute-solution
詳しくはわからないのですが、laravelの脆弱性をつく際に送られる通信みたいです。
laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129 - Qiita
thinkPHPの脆弱性を利用した攻撃
よく見る形の攻撃が今月もたくさん来ていました。
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21
Wordpress用プラグインFileManagerの脆弱性
/wp-content/plugins/wp-file-manager/readme.txt
Wordpress用プラグインのFileManagerが入っているかの調査通信
UJP - Wordpress 用FileManager の脆弱性やDockerAPI を狙ったアクセスの観測
Office 365を使っているかの調査
/Autodiscover/Autodiscover.xml
Office 365のアクセスログみたいです。
Tomcatのスキャン通信
/manager/html
Tomcatの管理画面にアクセスする通信
Xdebugへのアクセス
/?XDEBUG_SESSION_START=phpstorm
PHPのデバッグ用ツールのXdebugにアクセスする通信
よくわからなかったもの
/api/jsonws/invoke
不審な通信の一覧
| uri | count |
|---|---|
| /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 270 |
| /.env | 251 |
| /_ignition/execute-solution | 211 |
| /wp-login.php | 209 |
| /api/jsonws/invoke | 113 |
| /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 | 112 |
| /wp-content/plugins/wp-file-manager/readme.txt | 110 |
| /console/ | 109 |
| /Autodiscover/Autodiscover.xml | 106 |
| /app-ads.txt | 80 |
| /index.xml | 76 |
| /solr/admin/info/system?wt=json | 74 |
| /data/admin/allowurl.txt | 68 |
| //.env | 60 |
| /login | 49 |
| /manager/html | 48 |
| /config/getuser?index=0 | 45 |
| mstshash=Administr | 40 |
| http://passport.baidu.com/ | 40 |
| /jenkins/login | 38 |
| /mifs/.;/services/LogService | 37 |
| /?a=fetch&content=die(@md5(HelloThinkCMF)) | 37 |
| /?XDEBUG_SESSION_START=phpstorm | 37 |
| /blog/wp-login.php | 35 |
| /wp/wp-login.php | 34 |
| /wordpress/wp-login.php | 34 |
| /system_api.php | 32 |
| /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f | 30 |
| /boaform/admin/formLogin | 30 |
| /owa/ | 29 |
| /.well-known/security.txt | 29 |
| /0bef | 28 |
| /actuator/health | 27 |
| /public/.env | 25 |
| /administrator/pma/index.php?lang=en | 25 |
| /e/data/js/ajax.js | 24 |
| /administrator/admin/index.php?lang=en | 24 |
| /p431/wp-login.php | 23 |
| /PMA/index.php?lang=en | 23 |
| /phpmyadmin2018/index.php?lang=en | 22 |
| /php-myadmin/index.php?lang=en | 22 |
| /vendor/.env | 21 |
| /pma2018/index.php?lang=en | 21 |
| /phpmyadmin2012/index.php?lang=en | 21 |
| /mysqladmin/index.php?lang=en | 20 |
| /favicon.png | 20 |
| /?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=__HelloThinkPHP | 20 |
| /phpmyadmin2013/index.php?lang=en | 19 |
| /phpmyadmin2/index.php?lang=en | 19 |
| /database/index.php?lang=en | 19 |
| /administrator/PMA/index.php?lang=en | 19 |
| /_phpmyadmin/index.php?lang=en | 19 |
| /sql/websql/index.php?lang=en | 18 |
| /sql/sql-admin/index.php?lang=en | 18 |
| /pma2021/index.php?lang=en | 18 |
| /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application | 18 |
| /db/index.php?lang=en | 18 |
| /admin/index.php?lang=en | 18 |
| /HNAP1/ | 18 |
| /sqlmanager/index.php?lang=en | 17 |
| /sql/phpmanager/index.php?lang=en | 17 |
| /sitemap.xml | 17 |
| /pma2011/index.php?lang=en | 17 |
| /api/.env | 17 |
| /.git/config | 17 |
| /tags | 16 |
| /streaming/clients_live.php | 16 |
| /stream/live.php | 16 |
| /stalker_portal/c/version.js | 16 |
| /stalker_portal/c/ | 16 |
参考
Webサーバのログに残っているautodiscover.xmlとは何?(2020/4/2補足) – mds tech blog
