webサーバのログの分析 10月分

2021-11-23 技術系

公開している web サーバのログから通常のアクセスではない通信について分析しました。

多かったリクエスト

PHPUnit の脆弱性

//vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

WordPress 関連

いつもの通信

ログイン画面の調査

/post/wp-login.php
/wp-login.php

File Manager の脆弱性をつく通信

/wp-content/plugins/wp-file-manager/readme.txt

意図不明な通信

下記の通信は以前も確認しましたが、今月も 100 件以上確認しました。

/config/getuser?index=0

Microsoft ExchangeeDiscovery のスキャン

Microsoft Exchange Server にリモートでコードが実行される脆弱性があるらしく、それのスキャンが確認できました。

Scanning for Microsoft Exchange eDiscovery

CVE-2021-28481 - セキュリティ更新プログラムガイド - Microsoft - Microsoft Exchange Server のリモートでコードが実行される脆弱性

/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application

thinkPHP の脆弱性を利用した攻撃

/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21

MobileIron の脆弱性

MobileIron という製品の脆弱性をつく通信のようです

CVE Spotlight: MobileIron RCE CVE-2020-15505 | Perch Security

JVNDB-2020-007560 - JVN iPedia - 脆弱性対策情報データベース

/mifs/.;/services/LogService

不審な通信の一覧

uri	count
//vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php	242
/post/wp-login.php	119
/sellers.json	116
/wp-login.php	112
/config/getuser?index=0	111
//.env	103
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php	77
/favicon.ico	67
/.env	63
/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application	55
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21	37
/api/jsonws/invoke	36
/mifs/.;/services/LogService	34
/wp-content/plugins/wp-file-manager/readme.txt	33
/owa/auth/logon.aspx	32
/console/	32
/Autodiscover/Autodiscover.xml	32
//css/custom.css	32
*	32
/ads.txt	31
/index.xml	30
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f	29
/_ignition/execute-solution	29
/owa/auth/x.js	28
mstshash=Administr	26
/actuator/health	25
/GponForm/diag_Form?style/	25
/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh	20
/system_api.php	14
/streaming/clients_live.php	14
/stream/live.php	14
/stalker_portal/c/version.js	14
/flu/403.html	14
/c/version.js	14
//css/style.css	14
//css/reset.css	13
/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts	12
/.DS_Store	12
/bag2	10
/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/	9
/ab2h	9
/ab2g	9
//wp-content/	9
/.git/config	9
/aab9	8
/aaa9	8
/.well-known/security.txt	8
/about	7
http://fuwu.sogou.com/404/index.html	6
/ajax	5
///remote/fgt_lang?lang=/../../../..//////////dev/	5
/up.php	4
/manager/html	4
/login.action	4
/login	4
/gemini-iptv/vod.json	4
/gemini-iptv/get_prc.php	4
/archives/2021/10	4
/admin	4
/ReportServer	4
\x00\x00\x00\x0E2O\xAAC\xE92g\xC2W’\x17+\x1D\xD9\xC1\xF3,kN\x17\x14	3
7	3
/xx.php	3
/x.php	3
/wso.php	3
/vuln.php	3
/srx.php	3
/shell.php	3
/sdk	3
/nice%20ports%2C/Tri%6Eity.txt%2ebak	3
/manager/text/list	3
/m.php	3
/leafmailer2.8.php	3
/leaf.php	3

＜ Kindle Paperwhite シグニチャーエディションを買って2週間使ってみた感想

sshのconfigの書き方のメモ＞

webサーバのログの分析 10月分

多かったリクエスト

PHPUnit の脆弱性

WordPress 関連

ログイン画面の調査

File Manager の脆弱性をつく通信

意図不明な通信

Microsoft ExchangeeDiscovery のスキャン

thinkPHP の脆弱性を利用した攻撃

MobileIron の脆弱性

不審な通信の一覧

関連記事

新着記事