公開している web サーバのログから通常のアクセスではない通信について分析しました。
多かったリクエスト
.envファイルへのアクセス
あらゆるものの.envにアクセスしようとする通信
/laravel/.env
/app/.env
/api/.env
/apps/.env
/local/.env
/vendor/.env
/shared/.env
/conf/.env
/.env.php
/.env.save
/.env.dev
/sendgrid.env
/www/.env
/wp-content/.env
/wp-admin/.env
/vendor/laravel/.env
/storage/.env
/src/.env
/sites/all/libraries/mailchimp/.env
/protected/.env
/old/.env
/newsite/.env
/new/.env
gitのconfigファイルへのアクセス
/.git/config
phpinfoへのアクセス
/_profiler/phpinfo
/phpinfo.php
PHPUnitのevalをリモート実行
PHPのユニットテストツールのPHPUnitの脆弱性を利用してのeval()を実行しようとする通信
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
//vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
Netlink GPONルータ 脆弱性
ルータの脆弱性「CVE-2020-10173」を利用するIoTマルウェア | トレンドマイクロ セキュリティブログ
/boaform/admin/formLogin
GeoServerの脆弱性
GeoServer の深刻な脆弱性 CVE-2023-35042 が FIX:RCE 攻撃が観測されている – IoT OT Security News
/geoserver/web/
Spring Frameworkの脆弱性
Spring FrameworkのSpring Cloud Gatewayという機能の脆弱性に関する通信みたいです。
CVE-2022-22947: Spring Cloud Gateway Code Injection Vulnerability
/actuator/gateway/routes
Tomcatの管理機能にアクセスするための通信
Tomcatの管理画面にアクセスするための通信見たいです。
/manager/html
何かしらをスタートさせようとする通信
あらゆる拡張子のstartというファイルにアクセスしようとする通信がたくさんありました。
/start.shtml
/start.pl
/start.php
/start.jsp
/start.jsa
/start.jhtml
/start.html
/start.cgi
/start.cfm
/start.aspx
/start.asp
何かしらのメニューに入ろうとする通信
おそらく管理画面にアクセスしようとする通信があらゆる拡張子でありました。
/menu.shtml
/menu.pl
/menu.php
/menu.jsp
/menu.jsa
/menu.jhtml
/menu.html
/menu.cgi
/menu.cfm
/menu.aspx
/menu.asp
不審な通信の一覧
| uri | count |
|---|---|
| /robots.txt | 1087 |
| /ads.txt | 564 |
| /favicon.ico | 467 |
| /sw.js | 341 |
| /.env | 316 |
| /wp-login.php | 190 |
| * | 155 |
| mstshash=Administr | 128 |
| /.git/config | 98 |
| /boaform/admin/formLogin | 80 |
| /index.xml | 77 |
| /aab8 | 59 |
| /aaa9 | 59 |
| /geoserver/web/ | 58 |
| /app-ads.txt | 54 |
| /actuator/gateway/routes | 49 |
| /_profiler/phpinfo | 40 |
| /laravel/.env | 39 |
| /app/.env | 39 |
| /api/.env | 39 |
| /post/wp-login.php | 38 |
| /sellers.json | 36 |
| /core/.env | 34 |
| /owa/auth/x.js | 30 |
| /autodiscover/autodiscover.json?@zdi/Powershell | 30 |
| /+CSCOE+/logon.html | 30 |
| /admin/index.html | 29 |
| /admin/.env | 29 |
| /sitemap.xml | 28 |
| /manage/account/login | 28 |
| /cgi-bin/login.cgi | 28 |
| /apps/.env | 28 |
| /local/.env | 27 |
| /vendor/.env | 25 |
| /shared/.env | 25 |
| /conf/.env | 25 |
| /.env.php | 25 |
| /wp-content/uploads/ | 24 |
| /wp-content/ | 24 |
| /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 24 |
| /info.php | 24 |
| /.env.save | 24 |
| /.env.dev | 24 |
| /sendgrid.env | 23 |
| /cong.php | 23 |
| /client/.env | 23 |
| /aws.env | 23 |
| /wp-includes/ | 22 |
| /st.php | 22 |
| /radio.php | 22 |
| /css/index.php | 22 |
| /wp-content/themes/ | 21 |
| /wp-content/plugins/ | 21 |
| /wp-admin/ | 21 |
| /public/.env | 21 |
| /css/ | 21 |
| /.well-known/pki-validation/ | 21 |
| /.well-known/acme-challenge/ | 21 |
| /.well-known/ | 21 |
| \xC0/\xC00\xC0+\xC0,\xCC\xA8\xCC\xA9\xC0\x13\xC0\x09\xC0\x14\xC0 | 20 |
| /post/20210613 | 20 |
| /is-bin | 20 |
| /fw6I | 20 |
| /files/ | 20 |
| /c/msdownload/update/software/update/2021/11/6632de33-967441-x86.cab | 20 |
| /backend/.env | 20 |
| /actuator/health | 20 |
| /Visu/ens/events | 20 |
| /1.php | 20 |
| /phpinfo.php | 19 |
| /jquery-3.3.1.min.js | 19 |
| /wp-content/plugins/woocommerce/readme.txt | 18 |
| /upl.php | 18 |
| /tags/pov | 18 |
| /systembc/password.php | 18 |
| /geoip/ | 18 |
| /client/get_targets | 18 |
| /bundle.js | 18 |
| /www/.env | 17 |
| /wp-content/.env | 17 |
| /wp-admin/.env | 17 |
| /vendor/laravel/.env | 17 |
| /storage/.env | 17 |
| /src/.env | 17 |
| /sites/all/libraries/mailchimp/.env | 17 |
| /protected/.env | 17 |
| /old/.env | 17 |
| /newsite/.env | 17 |
| /new/.env | 17 |
| /main.php | 17 |
| /library/.env | 17 |
| /index.php | 17 |
| /database/.env | 17 |
| /crm/.env | 17 |
| /cgi-bin/.env | 17 |
| /blog/.env | 17 |
| /base/.env | 17 |
| /audio/.env | 17 |
| /app/config/.env | 17 |
| /HNAP1 | 17 |
| /8.bin | 17 |
| 7 | 16 |
| /sdk | 16 |
| /docker/.env | 16 |
| /dns-query | 16 |
| //vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 16 |
| /wp-content/plugins/core-stab/index.php | 15 |
| /web/.env | 15 |
| /uploads/.env | 15 |
| /sites/.env | 15 |
| /site/.env | 15 |
| /redmine/.env | 15 |
| /main/.env | 15 |
| /lib/.env | 15 |
| /gists/cache | 15 |
| /download/.env | 15 |
| /docs/.env | 15 |
| /blogs/.env | 15 |
| /.git/HEAD | 15 |
| /.env.example | 15 |
| mstshash=Domain | 14 |
| /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ | 14 |
| /shell?cd+/tmp;rm+-rf+*;wget+ | 14 |
| /login | 14 |
| /xmlrpc.php | 13 |
| /tags/python | 13 |
| /sitemap.txt | 13 |
| /phpinfo | 13 |
| /page-data/sq/d/48878111.json | 13 |
| /page-data/index/page-data.json | 13 |
| /home.php | 13 |
| /config.json | 13 |
| /admin.php | 13 |
| /.env.production | 13 |
| /.env.prod | 13 |
| default.asp | 12 |
| /ttd.exe | 12 |
| /static/5b3f3afdb7dd75a2371f0c680a796a17/19dda/N%E5%8F%B7%E6%A3%9F.webp | 12 |
| /start.shtml | 12 |
| /start.pl | 12 |
| /start.php | 12 |
| /start.jsp | 12 |
| /start.jsa | 12 |
| /start.jhtml | 12 |
| /start.html | 12 |
| /start.cgi | 12 |
| /start.cfm | 12 |
| /start.aspx | 12 |
| /start.asp | 12 |
| /sendgrid/.env | 12 |
| /readme.txt | 12 |
| /qd.CHM | 12 |
| /pools/default/buckets | 12 |
| /pools | 12 |
| /menu.shtml | 12 |
| /menu.pl | 12 |
| /menu.php | 12 |
| /menu.jsp | 12 |
| /menu.jsa | 12 |
| /menu.jhtml | 12 |
| /menu.html | 12 |
| /menu.cgi | 12 |
| /menu.cfm | 12 |
| /menu.aspx | 12 |
| /menu.asp | 12 |
| /manager/html | 12 |
