Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ハニーポットから見たWebサーバへの攻撃

Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=47 taiko19xx
December 15, 2018
Technology
0
2.2k

 ハニーポットから見たWebサーバへの攻撃

Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=128

taiko19xx

December 15, 2018
Tweet

More Decks by taiko19xx

See All by taiko19xx
Incident Managerでインシデント発生時のエスカレーションを自動化する
Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=48 taiko19xx
0
24
Lambdaカスタムランタイムで PHPでもサーバーレス!
Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=48 taiko19xx
0
47
IoTっぽいアプリをk3s+Raspberry Piで実行する
Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=48 taiko19xx
0
180
PHPなプロダクトをAmazon ECSで開発運用してる話
Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=48 taiko19xx
0
740
RaspberryPi+AWSでIoT(っぽ い)GPSロガーを作ってみた
Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=48 taiko19xx
0
1.2k
PHPからWin32APIをいじってみた
Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=48 taiko19xx
0
1.2k

Other Decks in Technology

See All in Technology
Oracle Cloud Infrastructure:2022年6月度サービス・アップデート
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
0
150
機械学習システムのアーキテクチャとデザインパターン
Ab00369879507922677a971b56cec3ae?s=48 washizaki
1
580
現状のFedCMの動作解説と OIDCとの親和性について- OpenID TechNight vol.19
658c29959d8a9fd352afa440a5813137?s=48 ritou
2
460
データ分析基盤のはじめかた
69a81d6d4d66a348e72f7a28b265fdbe?s=48 chanyou0311
0
120
Custom GitHub Actions by Java
E68f2e8b47dc1769380a1fa8181df3dd?s=48 kazamori
0
290
SlackBotで あらゆる業務を自動化。問い合わせ〜DevOpsまで #CODT2022
384ef83de6b166677314f14f99aee1cd?s=48 kogatakanori
0
940
情報の世界 2022年度 第11回「都市のデータ」 #情報の世界 / Data of City 2022
65241d0356dc5a93b0fec68bcf7b42ac?s=48 yumulab
0
110
MRTK3 - DataBinding and Theming 入門
Fccbd625997f63e7b251d9725cb905a5?s=48 futo23
0
190
データエンジニアと作るデータ文化
465cba0ac1de7e490c6ea484da327572?s=48 yuki_saito
4
1.7k
How to start with DDD when you have a Monolith
Ac38eb7117f177d961362cfe1387341b?s=48 javujavichi
0
350
What's Data Lake ? Azure Data Lake best practice
0d7a3b61c5c1f64a50136cf4bb5702b7?s=48 ryomaru0825
2
750
プログラマがオブジェクト指向しても幸せになれない理由
Bf7fe621f4fe1615c228ef8a79b87282?s=48 shirayanagiryuji
0
150

Featured

See All Featured
Mobile First: as difficult as doing things right
0fe2973fa8d27d96547e43322341183a?s=48 swwweet
213
7.5k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
E195ae45320d9202eaa01c9f1d31a416?s=48 marktimemedia
15
950
YesSQL, Process and Tooling at Scale
D09fad3e36ae6841f54820be0e907f7a?s=48 rocio
157
12k
Why Our Code Smells
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
PRO
324
55k
Fantastic passwords and where to find them - at NoRuKo
8ec1383b240b5ba15ffb9743fceb3c0e?s=48 philnash
27
1.5k
For a Future-Friendly Web
F68cb25ae3e5c2106997454b13b7737d?s=48 brad_frost
166
7.4k
Intergalactic Javascript Robots from Outer Space
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
261
25k
Three Pipe Problems
11c84dff30266b907714802088852677?s=48 jasonvnalue
89
8.7k
What's in a price? How to price your products and services
Dad095ea7038f89f760419ce475d5d14?s=48 michaelherold
229
9.4k
Build The Right Thing And Hit Your Dates
016edace78ffe826f2348d1e0c504afd?s=48 maggiecrowley
19
1.2k
Teambox: Starting and Learning
Aebc2d07a50011e2a30d38435fde564a?s=48 jrom
123
7.7k
Ruby is Unlike a Banana
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
91
9.2k

Transcript

  1. ハニーポットから見た Webサーバへの攻撃 PHP Conference 2018 Lightning Talk@2018/12/15 @taiko19xx / 木村

    俊彦

  2. こんにちは!

  3. 突然ですが ハニーポット知ってる人?

  4. では、 ハニーポット植えてる人?

  5. 今回の話 • 趣味で植えてるハニーポットで記録したログにどんな 攻撃があったか?という話です • 2018年4月~12月までのデータを集計した結果です • 環境によって差異があるのであくまで参考程度に • 最近いろいろあるので具体的な攻撃手法についてはあ

    まり触れません • あしからず

  6. PHPに関係した?ログ

  7. PHP関係で 一番多かったのは 何でしょう?

  8. None

  9. phpMyAdmin • とにかく多い • 件数というよりはパターンが多い • 攻撃よりは存在チェックがメイン • あらゆるディレクトリに名変えて試行錯誤してくる

  10. None
  11. None
  12. None

  13. phpMyAdmin • CVEに247件あるぐらいなので標的にされやすい • https://www.cvedetails.com/vendor/784/Php myadmin.html • 古いバージョンのまま使ってたりするので辛い • ホスティングとかでもありがち

    • 対策 • パブリックな領域に置かない • アクセス制御をする • ぜい弱性情報を欠かさず確認してアップデートする

  14. CMSでは?

  15. None

  16. Joomla! • 「サーバのファイルをダウンロードできる」モジュー ルやコンポーネントの引数に、設定ファイル (configuration.php)のパスを渡してダウンロードし ようとするパターンが大半 • 対策 • モジュールやコンポーネントの管理

  17. None

  18. WordPress • ログイン画面への辞書攻撃 • wp-login.php • 設定ファイルを直で取得しようとしてくる • wp-config.php •

    対策 • 安易なユーザーとパスワードはやめましょう • .htaccessなどでwp-config.phpを保護

  19. Drupal • Drupalgeddon 2の攻撃が何件か • CVE-2018-7600 • https://www.jpcert.or.jp/at/2018/at180012.ht ml •

    名前はかっこいい • 対策 • 対策済みのバージョンにアップデートする • Drupal 8.5.1/7.58/8.4.6/8.3.9 以上 • 8.2以前や6系にはパッチなしなので注意

  20. その他

  21. PHPUnit • PHPUnitのeval-stdin.phpにあるぜい弱性を突いた攻 撃 • CVE-2017-9841 • https://jvndb.jvn.jp/ja/contents/2017/JVNDB- 2017-005280.html •

    4.8.28未満 / 5.6.3未満が影響 • 対策 • アップデートする • パブリックな領域(DocumentRoot直下など)に置 かない
  22. None

  23. PHP関係ない?ログ

  24. Git • /.gitとか/.git/HEADへのリクエストが多い • /prod/が付いたり/dev/が付いたりする • わかりやすい場所にGitを置くのは考え直しましょう • 最低限認証をかける •

    GitHubとかGitLabで管理することも検討

  25. 隠し系 • /.aws/credentials • /.ssh/id_rsa • この辺は流石にアクセスできるようになってないと 信じたい • DocumentRootの場所を考え直しましょう

    • /.env • ググると中身が引っかかる場合がある • .htaccessなどで弾きましょう

  26. その他気になったもの • /?XDEBUG_SESSION_START=phpstorm • リモートデバッグに繋がると思っているのだろうか • 直接ネットに繋げていない限りないとは思いますが、 セッションIDを変えておきましょう • /.well-known/security.txt

    • 脅威というよりは何かあった時の連絡先 • https://securitytxt.org/ • あまり見かけない気がする

  27. 最後に • 紹介できなかったものは沢山あります • 「/manager/html」が4万件越えのリクエストが あるとか • 時期によって流行廃りがあるとか • こういうのが見られるのでハニーポットは楽しい

    • 植える際はセキュリティに気を付ける • ミイラ取りがミイラになってしまうので…

  28. おまけ / アクセス元の分布図

  29. 自己紹介 • 木村俊彦(@taiko19xx) • 普段はAzure/AWSを構築したりいじったり • もちろんPHPも • 仙台から来ました

  30. 仙台といえば

  31. None

  32. チケット販売中! 本編 懇親会