12月のログ分析で気になるログをレポートしていきます。

本日のログはこちらです。

'GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1\nHost: ***.***.***.***:***\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36\nAccept-Encoding: gzip\nConnection: close\n\n'

上のログのこの部分が気になりますね。

XDEBUG_SESSION_START=phpstorm

phpstormと書かれているのでphpのライブラリを使った攻撃であることがわかるとも思います。

pleiades.io

PHPXDebugセッションを開始するためのクエリです。

よくワードプレスへの脆弱性を狙った攻撃で使われます。

デバッグモードを実行する処理となり、変数監視やブレークポイントでの処理の停止といったデバッグ操作ができます。

本番機でデバッグモードを有効にしておくことは、セキュリティ上で危険ですのでデバッグモードを無効にする必要がございます。

デバッグモードが有効になっているサーバに仕掛けているようですね。