公開している web サーバのログから通常のアクセスではない通信について分析しました。
今月は心なしかWordpress関連が多かった気がします。
多かったリクエスト
.envファイルへのアクセス
あらゆるものの.envにアクセスしようとする通信
先月に比べてexampleの方にもアクセスしようとしている通信が増えていました。
/.env
//.env
/app/.env
/core/.env
/public/.env
/laravel/.env
/api/.env
/vendor/.env
/application/.env
/web/.env.example
/vendor/.env.example
/system/.env
/staging2/.env
/public/.env.example
/en/.env.example
/en/.env
/docker/.env
/core/.env.example
/app/.env.example
/backend/.env
PHPUnitのevalをリモート実行
PHPのユニットテストツールのPHPUnitの脆弱性を利用してのeval()を実行しようとする通信
//vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
Netlink GPONルータ 脆弱性
ルータの脆弱性「CVE-2020-10173」を利用するIoTマルウェア | トレンドマイクロ セキュリティブログ
/boaform/admin/formLogin
Crestron AirMedia AM-100 デバイスのファームウェアのディレクトリトラバーサルの脆弱性
JVNDB-2016-004125 - JVN iPedia - 脆弱性対策情報データベース
/cgi-bin/login.cgi
Spring Frameworkの脆弱性
Spring FrameworkのSpring Cloud Gatewayという機能の脆弱性に関する通信みたいです。
CVE-2022-22947: Spring Cloud Gateway Code Injection Vulnerability
/actuator/gateway/routes
Wordpressの情報取集
使用しているプラグインなどの調査
/wp-includes/
/wp-content/uploads/
/wp-content/themes/
/wp-content/plugins/
/wp-content/themes/seotheme/db.php?u
Windows Live Writerの設定ファイルへのアクセス
Windows Live Writerと連携してWordpressを利用しているかの調査を目的とした通信だと思われます。
/wp1/wp-includes/wlwmanifest.xml
/test/wp-includes/wlwmanifest.xml
/site/wp-includes/wlwmanifest.xml
/cms/wp-includes/wlwmanifest.xml
/wp/wp-includes/wlwmanifest.xml
/wordpress/wp-includes/wlwmanifest.xml
/web/wp-includes/wlwmanifest.xml
不審な通信の一覧
| uri | count |
|---|---|
| /robots.txt | 1222 |
| /sw.js | 635 |
| / | 628 |
| /favicon.ico | 440 |
| /ads.txt | 440 |
| /.env | 390 |
| /inputs.php | 195 |
| * | 191 |
| //.env | 147 |
| mstshash=Administr | 88 |
| /app-ads.txt | 88 |
| /boaform/admin/formLogin | 77 |
| /.git/config | 76 |
| /wp-content/ | 66 |
| //wp-content/ | 63 |
| /index.xml | 59 |
| /wp-admin/ | 57 |
| /geoserver/web/ | 57 |
| //vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 57 |
| /wp-includes/ | 54 |
| /wp-content/uploads/ | 54 |
| /wp-content/themes/ | 54 |
| /wp-content/plugins/ | 54 |
| /.well-known/ | 53 |
| /css/ | 52 |
| /.well-known/pki-validation/ | 52 |
| /.well-known/acme-challenge/ | 52 |
| /actuator/gateway/routes | 51 |
| /wp-login.php | 47 |
| /sellers.json | 41 |
| /app/.env | 37 |
| /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php | 36 |
| /core/.env | 36 |
| /aaa9 | 35 |
| /aab8 | 32 |
| /p101 | 31 |
| /info.php | 30 |
| /_profiler/phpinfo | 29 |
| /public/.env | 27 |
| /laravel/.env | 27 |
| /api/.env | 27 |
| /.well-known/security.txt | 27 |
| /+CSCOE+/logon.html | 26 |
| /vendor/.env | 25 |
| /sitemap.xml | 24 |
| /local/.env | 24 |
| /autodiscover/autodiscover.json?@zdi/Powershell | 23 |
| mstshash=Domain | 21 |
| /manage/account/login | 21 |
| /cgi-bin/login.cgi | 21 |
| /application/.env | 21 |
| /actuator/health | 21 |
| /web/.env | 20 |
| /admin/index.html | 20 |
| /HNAP1 | 20 |
| /sdk | 19 |
| /rest/.env | 19 |
| /phpinfo.php | 19 |
| /web/.env.example | 18 |
| /vendor/.env.example | 18 |
| /system/.env | 18 |
| /staging2/.env | 18 |
| /public/.env.example | 18 |
| /en/.env.example | 18 |
| /en/.env | 18 |
| /docker/.env | 18 |
| /core/.env.example | 18 |
| /app/.env.example | 18 |
| /backend/.env | 17 |
| \xC0/\xC00\xC0+\xC0,\xCC\xA8\xCC\xA9\xC0\x13\xC0\x09\xC0\x14\xC0 | 16 |
| /contact | 16 |
| /.env.save | 16 |
| 7 | 15 |
| /vendor/laravel/.env | 15 |
| /tags/cms | 15 |
| /storage/.env | 15 |
| /page-data/category/%E2%98%85%E2%98%85%E2%98%86%E2%98%86%E2%98%86/page-data.json | 15 |
| /page-data/category/%E2%98%85%E2%98%85%E2%98%85%E2%98%86%E2%98%86/page-data.json | 15 |
| /page-data/category/%E2%98%85%E2%98%85%E2%98%85%E2%98%85%E2%98%86/page-data.json | 15 |
| /database/.env | 15 |
| /config/getuser?index=0 | 15 |
| /apps/.env | 15 |
| /wp-plain.php | 14 |
| /webfig/ | 14 |
| /src/.env | 14 |
| /.env.old | 14 |
| /.env.development | 14 |
| /prod/.env | 13 |
| /index.php | 13 |
| /.env.production | 13 |
| /.env.prod | 13 |
| /wp1/wp-includes/wlwmanifest.xml | 12 |
| /wp-content/themes/seotheme/db.php?u | 12 |
| /wp-content/plugins/wordpresss3cll/wp-login.php | 12 |
| /wp-content/plugins/wordpresss3cll/includes.php | 12 |
| /version | 12 |
| /test/wp-includes/wlwmanifest.xml | 12 |
| /sitemap.txt | 12 |
| /site/wp-includes/wlwmanifest.xml | 12 |
| /page-data/index/page-data.json | 12 |
| /manager/html | 12 |
| /login.asp?id=44 | 12 |
| /login | 12 |
| /dns-query | 12 |
| /cms/wp-includes/wlwmanifest.xml | 12 |
| /admin.php | 12 |
| /.well-known/assetlinks.json | 12 |
| /.well-known/apple-app-site-association | 12 |
| /.git/HEAD | 12 |
| /.env.bak | 12 |
| /xmlrpc.php?rsd | 11 |
| /wp/wp-includes/wlwmanifest.xml | 11 |
| /wordpress/wp-includes/wlwmanifest.xml | 11 |
| /web/wp-includes/wlwmanifest.xml | 11 |
| /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ | 11 |
| /blog/wp-includes/wlwmanifest.xml | 11 |
| //api/.env | 11 |
| /static/7e39a3b57b7713cd7b4d7449076bbce4/ebe25/%E7%A6%81%E3%81%98%E3%82%89%E3%82%8C%E3%81%9F%E9%81%8A%E3%81%B3.webp | 10 |
| /private/.env | 10 |
| /hudson | 10 |
