Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ハニーポットから見たWebサーバへの攻撃

taiko19xx
December 15, 2018

 ハニーポットから見たWebサーバへの攻撃

taiko19xx

December 15, 2018
Tweet

More Decks by taiko19xx

Other Decks in Technology

Transcript

  1. ハニーポットから見た
    Webサーバへの攻撃
    PHP Conference 2018 Lightning [email protected]/12/15
    @taiko19xx / 木村 俊彦

    View Slide

  2. こんにちは!

    View Slide

  3. 突然ですが
    ハニーポット知ってる人?

    View Slide

  4. では、
    ハニーポット植えてる人?

    View Slide

  5. 今回の話
    • 趣味で植えてるハニーポットで記録したログにどんな
    攻撃があったか?という話です
    • 2018年4月~12月までのデータを集計した結果です
    • 環境によって差異があるのであくまで参考程度に
    • 最近いろいろあるので具体的な攻撃手法についてはあ
    まり触れません
    • あしからず

    View Slide

  6. PHPに関係した?ログ

    View Slide

  7. PHP関係で
    一番多かったのは
    何でしょう?

    View Slide

  8. View Slide

  9. phpMyAdmin
    • とにかく多い
    • 件数というよりはパターンが多い
    • 攻撃よりは存在チェックがメイン
    • あらゆるディレクトリに名変えて試行錯誤してくる

    View Slide

  10. View Slide

  11. View Slide

  12. View Slide

  13. phpMyAdmin
    • CVEに247件あるぐらいなので標的にされやすい
    • https://www.cvedetails.com/vendor/784/Php
    myadmin.html
    • 古いバージョンのまま使ってたりするので辛い
    • ホスティングとかでもありがち
    • 対策
    • パブリックな領域に置かない
    • アクセス制御をする
    • ぜい弱性情報を欠かさず確認してアップデートする

    View Slide

  14. CMSでは?

    View Slide

  15. View Slide

  16. Joomla!
    • 「サーバのファイルをダウンロードできる」モジュー
    ルやコンポーネントの引数に、設定ファイル
    (configuration.php)のパスを渡してダウンロードし
    ようとするパターンが大半
    • 対策
    • モジュールやコンポーネントの管理

    View Slide

  17. View Slide

  18. WordPress
    • ログイン画面への辞書攻撃
    • wp-login.php
    • 設定ファイルを直で取得しようとしてくる
    • wp-config.php
    • 対策
    • 安易なユーザーとパスワードはやめましょう
    • .htaccessなどでwp-config.phpを保護

    View Slide

  19. Drupal
    • Drupalgeddon 2の攻撃が何件か
    • CVE-2018-7600
    • https://www.jpcert.or.jp/at/2018/at180012.ht
    ml
    • 名前はかっこいい
    • 対策
    • 対策済みのバージョンにアップデートする
    • Drupal 8.5.1/7.58/8.4.6/8.3.9 以上
    • 8.2以前や6系にはパッチなしなので注意

    View Slide

  20. その他

    View Slide

  21. PHPUnit
    • PHPUnitのeval-stdin.phpにあるぜい弱性を突いた攻

    • CVE-2017-9841
    • https://jvndb.jvn.jp/ja/contents/2017/JVNDB-
    2017-005280.html
    • 4.8.28未満 / 5.6.3未満が影響
    • 対策
    • アップデートする
    • パブリックな領域(DocumentRoot直下など)に置
    かない

    View Slide

  22. View Slide

  23. PHP関係ない?ログ

    View Slide

  24. Git
    • /.gitとか/.git/HEADへのリクエストが多い
    • /prod/が付いたり/dev/が付いたりする
    • わかりやすい場所にGitを置くのは考え直しましょう
    • 最低限認証をかける
    • GitHubとかGitLabで管理することも検討

    View Slide

  25. 隠し系
    • /.aws/credentials
    • /.ssh/id_rsa
    • この辺は流石にアクセスできるようになってないと
    信じたい
    • DocumentRootの場所を考え直しましょう
    • /.env
    • ググると中身が引っかかる場合がある
    • .htaccessなどで弾きましょう

    View Slide

  26. その他気になったもの
    • /?XDEBUG_SESSION_START=phpstorm
    • リモートデバッグに繋がると思っているのだろうか
    • 直接ネットに繋げていない限りないとは思いますが、
    セッションIDを変えておきましょう
    • /.well-known/security.txt
    • 脅威というよりは何かあった時の連絡先
    • https://securitytxt.org/
    • あまり見かけない気がする

    View Slide

  27. 最後に
    • 紹介できなかったものは沢山あります
    • 「/manager/html」が4万件越えのリクエストが
    あるとか
    • 時期によって流行廃りがあるとか
    • こういうのが見られるのでハニーポットは楽しい
    • 植える際はセキュリティに気を付ける
    • ミイラ取りがミイラになってしまうので…

    View Slide

  28. おまけ / アクセス元の分布図

    View Slide

  29. 自己紹介
    • 木村俊彦(@taiko19xx)
    • 普段はAzure/AWSを構築したりいじったり
    • もちろんPHPも
    • 仙台から来ました

    View Slide

  30. 仙台といえば

    View Slide

  31. View Slide

  32. チケット販売中!
    本編 懇親会

    View Slide