公開している web サーバのログから通常のアクセスではない通信について分析しました。
多かったリクエスト
.envファイルへのアクセス
/.env
/app/.env
//.env
/api/.env
/core/.env
/laravel/.env
/apps/.env
/local/.env
/docker/.env
/private/.env
/development/.env
/cp/.env
/.env.prod
/.env.old
/system/.env
/shared/.env
gitのconfigファイルへのアクセス
/.git/config
PHPUnitのevalをリモート実行
PHPのユニットテストツールのPHPUnitの脆弱性を利用してのeval()を実行しようとする通信
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
phpinfoへのアクセス
/_profiler/phpinfo
Netlink GPONルータ 脆弱性
ルータの脆弱性「CVE-2020-10173」を利用するIoTマルウェア | トレンドマイクロ セキュリティブログ
/boaform/admin/formLogin
GeoServerの脆弱性
GeoServer の深刻な脆弱性 CVE-2023-35042 が FIX:RCE 攻撃が観測されている – IoT OT Security News
/geoserver/web/
/geoserver
thinkPHPの脆弱性を利用した攻撃
/index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21
OWA (Outlook Web Access)のログインページの調査
Microsoft Exchange Server 2010の脆弱性を狙ったもののようです。
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f
何かしらのリモートログイン画面の調査
何かは分からないですが、リモートログインしようとしているみたいです。
/remote/login
laravelの脆弱性を利用した攻撃
詳しくはわからないのですが、laravelの脆弱性をつく際に送られる通信みたいです。
laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129 - Qiita
/_ignition/execute-solution
Spring Frameworkの脆弱性
Spring FrameworkのSpring Cloud Gatewayという機能の脆弱性に関する通信みたいです。
CVE-2022-22947: Spring Cloud Gateway Code Injection Vulnerability
/actuator/gateway/routes
Wordpressの情報取集
バックドアプラグインの調査
バックドア用のプラグインが入っていないかの調査の通信
/wp-content/plugins/ioptimization/IOptimize.php?rchk
使用しているテーマやプラグインの調査
/wp-content/themes/seotheme/mar.php
/wp-content/themes/pridmag/db.php?u
/wp-content/plugins/seoplugins/mar.php
/wp-content/plugins/ccx/index.php
不審な通信の一覧
| uri | count |
|---|---|
| /robots.txt | 1180 |
| /favicon.ico | 574 |
| /ads.txt | 460 |
| /sw.js | 390 |
| /.env | 385 |
| * | 141 |
| /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 121 |
| mstshash=Administr | 108 |
| /.git/config | 86 |
| /_profiler/phpinfo | 81 |
| /wp-login.php | 76 |
| /boaform/admin/formLogin | 65 |
| /index.xml | 62 |
| /wp-content/themes/seotheme/mar.php | 56 |
| /wp-content/themes/pridmag/db.php?u | 56 |
| /wp-content/plugins/seoplugins/mar.php | 56 |
| /wp-content/plugins/ioptimization/IOptimize.php?rchk | 56 |
| /wp-content/plugins/ccx/index.php | 56 |
| /index.php?3x=3x | 56 |
| /geoserver/web/ | 56 |
| /aaa9 | 56 |
| /aab8 | 55 |
| /owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f | 49 |
| /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 | 47 |
| /Autodiscover/Autodiscover.xml | 47 |
| /debug/default/view?panel=config | 44 |
| /app-ads.txt | 42 |
| /sellers.json | 40 |
| /1.php | 40 |
| /remote/login | 39 |
| /console/ | 39 |
| /_ignition/execute-solution | 39 |
| /remote/logincheck | 37 |
| /files/ | 37 |
| /geoserver | 36 |
| /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh | 36 |
| /bundle.js | 36 |
| /app/.env | 34 |
| /actuator/gateway/routes | 33 |
| //.env | 33 |
| /upl.php | 32 |
| /geoip/ | 32 |
| /api/.env | 31 |
| /shell?cd+/tmp;rm+-rf+*;wget+ | 30 |
| /core/.env | 30 |
| /client/get_targets | 29 |
| /actuator/health | 29 |
| /p101 | 27 |
| \xC0/\xC00\xC0+\xC0,\xCC\xA8\xCC\xA9\xC0\x13\xC0\x09\xC0\x14\xC0 | 26 |
| /laravel/.env | 26 |
| /.well-known/security.txt | 26 |
| /solr/admin/info/system?wt=json | 25 |
| /post/20230705 | 24 |
| /ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application | 24 |
| /apps/.env | 24 |
| /local/.env | 23 |
| /config.json | 21 |
| /autodiscover/autodiscover.json?@zdi/Powershell | 21 |
| /sitemap.xml | 19 |
| /wp-content/ | 18 |
| /mifs/.;/services/LogService | 18 |
| /docker/.env | 18 |
| /about | 18 |
| /private/api/v1/service/premaster | 17 |
| /private/.env | 17 |
| /development/.env | 17 |
| /cp/.env | 17 |
| /admin.php | 17 |
| /HNAP1 | 17 |
| /.env.prod | 17 |
| /.env.old | 17 |
| /system/.env | 16 |
| /shared/.env | 16 |
| /sdk | 16 |
| /sapi/debug/default/view | 16 |
| /owa/auth/logon.aspx | 16 |
| /frontend/web/debug/default/view | 16 |
| /enviroments/.env.production | 16 |
| /debug/default/view.html | 16 |
| /debug/default/view | 16 |
| /cms/.env | 16 |
| /application/.env | 16 |
| /.env.save | 16 |
| /.env.project | 16 |
| /.aws/credentials | 16 |
| mstshash=Domain | 15 |
| /web/debug/default/view | 15 |
| /owa/auth/x.js | 15 |
| /back/.env | 15 |
| /app | 15 |
| /ab2g | 15 |
| /.env.production | 15 |
| /.env.development | 15 |
| /tool/view/phpinfo.view.php | 14 |
| /sources/.env | 14 |
| /main.php | 14 |
| /live_env | 14 |
| /info.php | 14 |
| /index.php | 14 |
| /fedex/.env | 14 |
| /enviroments/.env | 14 |
| /admin/.env | 14 |
| /.well-known/assetlinks.json | 14 |
| /.vscode/sftp.json | 14 |
| /.git/HEAD | 14 |
| /.env.dist | 14 |
| /wp-config.php-backup | 13 |
| /t4 | 13 |
| /start.jsp | 13 |
| /rest/.env | 13 |
| /public/.env | 13 |
| /menu.jsp | 13 |
| /manifest.js | 13 |
| /main.jsp | 13 |
| /localstart.jsp | 13 |
| /inicio.jsp | 13 |
| /indice.jsp | 13 |
| /index.jsp | 13 |
| /home.jsp | 13 |
| /home.asp | 13 |
| /default.jsp | 13 |
| /ab2h | 13 |
| //wp-content/ | 13 |
| /.well-known/apple-app-site-association | 13 |
| /.DS_Store | 13 |
| default.asp | 12 |
| 7 | 12 |
| /wp-content/uploads/ | 12 |
| /start.shtml | 12 |
| /start.pl | 12 |
| /start.php | 12 |
| /start.jsa | 12 |
| /start.jhtml | 12 |
| /start.html | 12 |
| /start.cgi | 12 |
| /start.cfm | 12 |
| /start.aspx | 12 |
| /start.asp | 12 |
| /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ | 12 |
| /sendgrid/.env | 12 |
| /script/.env | 12 |
| /readme.txt | 12 |
| /pools/default/buckets | 12 |
| /pools | 12 |
| /mgmt/tm/util/bash | 12 |
| /menu.shtml | 12 |
| /menu.pl | 12 |
| /menu.php | 12 |
| /menu.jsa | 12 |
| /menu.jhtml | 12 |
| /menu.html | 12 |
| /menu.cgi | 12 |
| /menu.cfm | 12 |
| /menu.aspx | 12 |
| /menu.asp | 12 |
| /main.shtml | 12 |
| /main.pl | 12 |
| /main.jsa | 12 |
| /main.jhtml | 12 |
| /main.html | 12 |
| /main.cgi | 12 |
| /main.cfm | 12 |
| /main.aspx | 12 |
| /main.asp | 12 |
| /localstart.shtml | 12 |
| /localstart.pl | 12 |
| /localstart.php | 12 |
| /localstart.jsa | 12 |
| /localstart.jhtml | 12 |
| /localstart.html | 12 |
| /localstart.cgi | 12 |
| /localstart.cfm | 12 |
| /localstart.aspx | 12 |
