12月のログ分析で気になるログをレポートしていきます。
本日のログはこちらです。
'GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1\nHost: ***.***.***.***:***\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36\nAccept-Encoding: gzip\nConnection: close\n\n'
上のログのこの部分が気になりますね。
XDEBUG_SESSION_START=phpstorm
phpstormと書かれているのでphpのライブラリを使った攻撃であることがわかるとも思います。
PHPXDebugセッションを開始するためのクエリです。
デバッグモードを実行する処理となり、変数監視やブレークポイントでの処理の停止といったデバッグ操作ができます。
本番機でデバッグモードを有効にしておくことは、セキュリティ上で危険ですのでデバッグモードを無効にする必要がございます。
デバッグモードが有効になっているサーバに仕掛けているようですね。