Slide 15
Slide 15 text
Google BigQueryでSQLを使用した分析
15
SELECT
time,
REGEXP_EXTRACT(uri, r'(?:\?|&)pma_username=([^&]+)') pma_username,
REGEXP_EXTRACT(uri, r'(?:\?|&)pma_password=([^&]+)') pma_password
FROM `honeypot-log-analysis.log.nginx_access`
WHERE
REGEXP_EXTRACT(uri, r'(?:\?|&)(?:pma_username|pma_password)=([^&]+)') IS NOT NULL
UNION ALL
SELECT
time,
REGEXP_EXTRACT(request_body, r'(?:^|&)pma_username=([^&]+)') pma_username,
REGEXP_EXTRACT(request_body, r'(?:^|&)pma_password=([^&]+)') pma_password
FROM `honeypot-log-analysis.log.nginx_access`
WHERE
REGEXP_EXTRACT(request_body, r'(?:^|&)(?:pma_username|pma_password)=([^&]+)') IS NOT
NULL
ORDER BY time DESC
phpMyAdminにログイン試行された
username/passwordを一覧表示するSQLの例
正規表現を使用して、URIのクエリパラメータから、
pma_usernameとpma_passwordを抽出して取得。
POSTデータからも同様に抽出し、和集合をとって表示