今日はアクセスログの中で正常応答しなかったログを抽出して、1つのログをピックアップして分析します。
アクセスログの中でHTTPのレスポンスコード200以外の応答をgrepで抽出します。[1]
コマンドは以下
結果例
たくさんの正常でない応答が抽出されましたw
どんだけ不正のリクエストくるのよwww
抽出したログの中で1番下のログを分析します。
/manager/html HTTP/1.1 401と出ていますので認証が必要とこちらから返しています。
/manager/htmlとにGETを送ってることから管理者でログインしようと試みてるかもしれませんね。
echo "R0VUIC9tYW5hZ2VyL2h0bWwgSFRUUC8xLjEKQWNjZXB0OiBpbWFnZS9naWYsIGltYWdlL2pwZWcsIGltYWdlL3BqcGVnLCBpbWFnZS9wanBlZywgYXBwbGljYXRpb24veC1zaG9ja3dhdmUtZmxhc2gsIGFwcGxpY2F0aW9uL3gtbXMtYXBwbGljYXRpb24sIGFwcGxpY2F0aW9uL3gtbXMteGJhcCwgYXBwbGljYXRpb24vdm5kLm1zLXhwc2RvY3VtZW50LCBhcHBsaWNhdGlvbi94YW1sK3htbCwgKi8qCkFjY2VwdC1MYW5ndWFnZTogZW4tdXMKVXNlci1BZ2VudDogTW96aWxsYS81LjAgR2Vja28vMjAxMDAxMDEKQWNjZXB0LUVuY29kaW5nOiBnemlwLCBkZWZsYXRlCkhvc3Q6IDEzMy4yNDIuMTc4LjQwCkNvbm5lY3Rpb246IEtlZXAtQWxpdmUKQXV0aG9yaXphdGlvbjogQmFzaWMgWjNWbGMzUTZjMlZ5ZG1WeQoK" | base64 -d
結果
Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, */*
Accept-Language: en-us
User-Agent: Mozilla/5.0 Gecko/20100101
Accept-Encoding: gzip, deflate
Host: XXX.XXX.XXX.XXX
Connection: Keep-Alive
Authorization: Basic Z3Vlc3Q6c2VydmVy
さまざまなイメージファイル、アプリケーションをgzip、deflate圧縮アルゴリズムで送りつける感じでしょうか・・・
x-shoskwave-flashはすでにサポート終了したフラッシュプレイヤーです。
サポート切れのアプリを入れさせて脆弱性をつく感じかな?
ConnectionがKeep-Aliveというのもコネクションを保ち続けるようにしていますね。
[3]
最後はBASIC認証ですね。
Basicの後の文字列はなんでしょう・・・
でたらめでしょうか?
色々攻撃が来てるので引き続きログレポートしていきたいと思います。
参考文献
[1]
[2]
[3]