今日来た攻撃の中から1件取り出して分析します。
今日来たアクセスのデータは以下になります。
アクセスログデータ
POST /xmlrpc.php HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Content-Length: 481
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
Connection: close
<?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value><array><data><value><string>admin</string></value><value><string>F*uckYou</string></value></data></array></value></data></array></value></member></struct></value></data></array></value></param></params></methodCall>
ログ内容
POSTのxmlrpc.phpはWordPressの脆弱性をついた攻撃のようです。[1]
WordPressに対する攻撃は多くあります。
php関係アクセスは他にも多く、脆弱性を突く攻撃は多いです。
WordPressはよく独自のブログやWebサイトを作成する際に簡単に作れることでよく使われます。
便利なツールだけに攻撃対象にもなりやすいので利用する際は気をつけたいですね。
ユーザエージェント部分はFirfox/62.0だいぶ古いですね。
2018年くらいのバージョンのようです[2]。
最後のxml記述の部分はRPCを使った攻撃のようです。
検索してみるとブルートフォース攻撃としても使われることがあるようです[3]。
xmlの記述部分のメッセージに<string>F*uckYou</string>とありますね。
暴言吐かれています。
Fとuの間に*を入れて禁句表現のフィルタから避けるようにしているのでしょうか。
文字を*で隠さないあたりが嫌ですね。
メッセージの中に禁止用語があった、WordPressの脆弱性をつく攻撃でした。
参考記事
[1]
[2]
[3]
ハニーポット参考書籍