Slide 1
Slide 1 text
ハニーポットから見た
Webサーバへの攻撃
PHP Conference 2018 Lightning Talk@2018/12/15
@taiko19xx / 木村 俊彦
Slide 2
Slide 2 text
こんにちは!
Slide 3
Slide 3 text
突然ですが
ハニーポット知ってる人?
Slide 4
Slide 4 text
では、
ハニーポット植えてる人?
Slide 5
Slide 5 text
今回の話
• 趣味で植えてるハニーポットで記録したログにどんな
攻撃があったか?という話です
• 2018年4月~12月までのデータを集計した結果です
• 環境によって差異があるのであくまで参考程度に
• 最近いろいろあるので具体的な攻撃手法についてはあ
まり触れません
• あしからず
Slide 6
Slide 6 text
PHPに関係した?ログ
Slide 7
Slide 7 text
PHP関係で
一番多かったのは
何でしょう?
Slide 8
Slide 8 text
No content
Slide 9
Slide 9 text
phpMyAdmin
• とにかく多い
• 件数というよりはパターンが多い
• 攻撃よりは存在チェックがメイン
• あらゆるディレクトリに名変えて試行錯誤してくる
Slide 10
Slide 10 text
No content
Slide 11
Slide 11 text
No content
Slide 12
Slide 12 text
No content
Slide 13
Slide 13 text
phpMyAdmin
• CVEに247件あるぐらいなので標的にされやすい
• https://www.cvedetails.com/vendor/784/Php
myadmin.html
• 古いバージョンのまま使ってたりするので辛い
• ホスティングとかでもありがち
• 対策
• パブリックな領域に置かない
• アクセス制御をする
• ぜい弱性情報を欠かさず確認してアップデートする
Slide 14
Slide 14 text
CMSでは?
Slide 15
Slide 15 text
No content
Slide 16
Slide 16 text
Joomla!
• 「サーバのファイルをダウンロードできる」モジュー
ルやコンポーネントの引数に、設定ファイル
(configuration.php)のパスを渡してダウンロードし
ようとするパターンが大半
• 対策
• モジュールやコンポーネントの管理
Slide 17
Slide 17 text
No content
Slide 18
Slide 18 text
WordPress
• ログイン画面への辞書攻撃
• wp-login.php
• 設定ファイルを直で取得しようとしてくる
• wp-config.php
• 対策
• 安易なユーザーとパスワードはやめましょう
• .htaccessなどでwp-config.phpを保護
Slide 19
Slide 19 text
Drupal
• Drupalgeddon 2の攻撃が何件か
• CVE-2018-7600
• https://www.jpcert.or.jp/at/2018/at180012.ht
ml
• 名前はかっこいい
• 対策
• 対策済みのバージョンにアップデートする
• Drupal 8.5.1/7.58/8.4.6/8.3.9 以上
• 8.2以前や6系にはパッチなしなので注意
Slide 20
Slide 20 text
その他
Slide 21
Slide 21 text
PHPUnit
• PHPUnitのeval-stdin.phpにあるぜい弱性を突いた攻
撃
• CVE-2017-9841
• https://jvndb.jvn.jp/ja/contents/2017/JVNDB-
2017-005280.html
• 4.8.28未満 / 5.6.3未満が影響
• 対策
• アップデートする
• パブリックな領域(DocumentRoot直下など)に置
かない
Slide 22
Slide 22 text
No content
Slide 23
Slide 23 text
PHP関係ない?ログ
Slide 24
Slide 24 text
Git
• /.gitとか/.git/HEADへのリクエストが多い
• /prod/が付いたり/dev/が付いたりする
• わかりやすい場所にGitを置くのは考え直しましょう
• 最低限認証をかける
• GitHubとかGitLabで管理することも検討
Slide 25
Slide 25 text
隠し系
• /.aws/credentials
• /.ssh/id_rsa
• この辺は流石にアクセスできるようになってないと
信じたい
• DocumentRootの場所を考え直しましょう
• /.env
• ググると中身が引っかかる場合がある
• .htaccessなどで弾きましょう
Slide 26
Slide 26 text
その他気になったもの
• /?XDEBUG_SESSION_START=phpstorm
• リモートデバッグに繋がると思っているのだろうか
• 直接ネットに繋げていない限りないとは思いますが、
セッションIDを変えておきましょう
• /.well-known/security.txt
• 脅威というよりは何かあった時の連絡先
• https://securitytxt.org/
• あまり見かけない気がする
Slide 27
Slide 27 text
最後に
• 紹介できなかったものは沢山あります
• 「/manager/html」が4万件越えのリクエストが
あるとか
• 時期によって流行廃りがあるとか
• こういうのが見られるのでハニーポットは楽しい
• 植える際はセキュリティに気を付ける
• ミイラ取りがミイラになってしまうので…
Slide 28
Slide 28 text
おまけ / アクセス元の分布図
Slide 29
Slide 29 text
自己紹介
• 木村俊彦(@taiko19xx)
• 普段はAzure/AWSを構築したりいじったり
• もちろんPHPも
• 仙台から来ました
Slide 30
Slide 30 text
仙台といえば
Slide 31
Slide 31 text
No content
Slide 32
Slide 32 text
チケット販売中!
本編 懇親会