ハニーレポート

ハニーポット観測レポートを中心に書いていきます。

ハニーレポート#6 脆弱性を狙った攻撃を検知

ハニーポットレポート

ハニーポットを再構築して3日ほど経ちました。
アクセスが早速きているのでログを見てみます。
まだ、集計用のスクリプトなど作っていないので今日は不審なHTMLタグ挿入があるか抽出してみます。

ログ抽出用のコマンドはこちら[1]

grep -E "<[^>]+>[^<]+<[^>]+>" -o access_log

結果

f:id:darjring:20220207215507p:plain

検知しました。
これは、WordPress脆弱性をついた攻撃です。[2]
この攻撃は古い脆弱性のようです。
WordPress脆弱性をついた攻撃は多くあります。
WordPressでウェブサイトやブログを構築するのは容易であるため、初心者でも簡単に始められるかつ少し勉強すればさまざまなカスタマイズができる一方で攻撃者はそこをついてきます。
カスタマイズしてできた脆弱性やバージョンを更新しないままにしておいたWordPressで構築したサイトを狙ってくるのです。
今回もそういった攻撃っぽいですね。

参考サイト

[1]

qiita.com

[2]

it-omurice.tokyo

 

WOWHoneypot構築本

 

WOWHoneypotの遊びかた “おもてなし”機能でサイバー攻撃を観察する! (技術の泉シリーズ(NextPublishing))

WOWHoneypotの遊びかた “おもてなし”機能でサイバー攻撃を観察する! (技術の泉シリーズ(NextPublishing))

Amazon