webサーバのログの分析 10月分

2021-11-23 技術系

公開している web サーバのログから通常のアクセスではない通信について分析しました。

多かったリクエスト

PHPUnit の脆弱性

//vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

WordPress 関連

いつもの通信

ログイン画面の調査

/post/wp-login.php
/wp-login.php

File Manager の脆弱性をつく通信

/wp-content/plugins/wp-file-manager/readme.txt

意図不明な通信

下記の通信は以前も確認しましたが、今月も 100 件以上確認しました。

/config/getuser?index=0

Microsoft ExchangeeDiscovery のスキャン

Microsoft Exchange Server にリモートでコードが実行される脆弱性があるらしく、それのスキャンが確認できました。

Scanning for Microsoft Exchange eDiscovery

CVE-2021-28481 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Exchange Server のリモートでコードが実行される脆弱性

/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application

thinkPHP の脆弱性を利用した攻撃

/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21

MobileIron の脆弱性

MobileIron という製品の脆弱性をつく通信のようです

CVE Spotlight: MobileIron RCE CVE-2020-15505 | Perch Security

JVNDB-2020-007560 - JVN iPedia - 脆弱性対策情報データベース

/mifs/.;/services/LogService

不審な通信の一覧

uri count
//vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 242
/post/wp-login.php 119
/sellers.json 116
/wp-login.php 112
/config/getuser?index=0 111
//.env 103
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 77
/favicon.ico 67
/.env 63
/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application 55
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 37
/api/jsonws/invoke 36
/mifs/.;/services/LogService 34
/wp-content/plugins/wp-file-manager/readme.txt 33
/owa/auth/logon.aspx 32
/console/ 32
/Autodiscover/Autodiscover.xml 32
//css/custom.css 32
* 32
/ads.txt 31
/index.xml 30
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f 29
/_ignition/execute-solution 29
/owa/auth/x.js 28
mstshash=Administr 26
/actuator/health 25
/GponForm/diag_Form?style/ 25
/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh 20
/system_api.php 14
/streaming/clients_live.php 14
/stream/live.php 14
/stalker_portal/c/version.js 14
/flu/403.html 14
/c/version.js 14
//css/style.css 14
//css/reset.css 13
/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts 12
/.DS_Store 12
/bag2 10
/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ 9
/ab2h 9
/ab2g 9
//wp-content/ 9
/.git/config 9
/aab9 8
/aaa9 8
/.well-known/security.txt 8
/about 7
http://fuwu.sogou.com/404/index.html 6
/ajax 5
///remote/fgt_lang?lang=/../../../..//////////dev/ 5
/up.php 4
/manager/html 4
/login.action 4
/login 4
/gemini-iptv/vod.json 4
/gemini-iptv/get_prc.php 4
/archives/2021/10 4
/admin 4
/ReportServer 4
\x00\x00\x00\x0E2O\xAAC\xE92g\xC2W’\x17+\x1D\xD9\xC1\xF3,kN\x17\x14 3
7 3
/xx.php 3
/x.php 3
/wso.php 3
/vuln.php 3
/srx.php 3
/shell.php 3
/sdk 3
/nice%20ports%2C/Tri%6Eity.txt%2ebak 3
/manager/text/list 3
/m.php 3
/leafmailer2.8.php 3
/leaf.php 3

ブログランキング・にほんブログ村へ follow us in feedly

関連記事

新着記事

comments powered by Disqus