ハニーポットから見たWebサーバへの攻撃

Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=47 taiko19xx
December 15, 2018
Technology
0
1.7k

 ハニーポットから見たWebサーバへの攻撃

Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=128

taiko19xx

December 15, 2018
Tweet

Want more?

Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=48 taiko19xx
0
34
Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=48 taiko19xx
0
110
Ba6e6b57ca87882b1aa0a7ed835a5ed6?s=48 taiko19xx
0
480
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
13
740
A9a491b0fcbe0fbce3d64063a37add99?s=48 rmw
3
390
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
0
250
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenhchung
8
530
06f8b41980eb4c577fa40c41d5030c19?s=48 keathley
9
280
C0390e8b11079f8761c0cd3274ed61cb?s=48 productmarketing
3
340
C35e01544a0dd94a2cf1619ee8a42ebb?s=48 clairelew
4
780
6bb82b13cda86d3b821fa44100335ddf?s=48 thoeni
1
200
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
4
280

Transcript

  1. 1.

    ハニーポットから見た Webサーバへの攻撃 PHP Conference 2018 Lightning Talk@2018/12/15 @taiko19xx / 木村

    俊彦
  2. 2.

    こんにちは!

  3. 3.

    突然ですが ハニーポット知ってる人?

  4. 4.

    では、 ハニーポット植えてる人?

  5. 5.

    今回の話 • 趣味で植えてるハニーポットで記録したログにどんな 攻撃があったか?という話です • 2018年4月~12月までのデータを集計した結果です • 環境によって差異があるのであくまで参考程度に • 最近いろいろあるので具体的な攻撃手法についてはあ

    まり触れません • あしからず
  6. 6.

    PHPに関係した?ログ

  7. 7.

    PHP関係で 一番多かったのは 何でしょう?

  8. 8.
    None
  9. 9.

    phpMyAdmin • とにかく多い • 件数というよりはパターンが多い • 攻撃よりは存在チェックがメイン • あらゆるディレクトリに名変えて試行錯誤してくる

  10. 10.
    None
  11. 11.
    None
  12. 12.
    None
  13. 13.

    phpMyAdmin • CVEに247件あるぐらいなので標的にされやすい • https://www.cvedetails.com/vendor/784/Php myadmin.html • 古いバージョンのまま使ってたりするので辛い • ホスティングとかでもありがち

    • 対策 • パブリックな領域に置かない • アクセス制御をする • ぜい弱性情報を欠かさず確認してアップデートする
  14. 14.

    CMSでは?

  15. 15.
    None
  16. 16.

    Joomla! • 「サーバのファイルをダウンロードできる」モジュー ルやコンポーネントの引数に、設定ファイル (configuration.php)のパスを渡してダウンロードし ようとするパターンが大半 • 対策 • モジュールやコンポーネントの管理

  17. 17.
    None
  18. 18.

    WordPress • ログイン画面への辞書攻撃 • wp-login.php • 設定ファイルを直で取得しようとしてくる • wp-config.php •

    対策 • 安易なユーザーとパスワードはやめましょう • .htaccessなどでwp-config.phpを保護
  19. 19.

    Drupal • Drupalgeddon 2の攻撃が何件か • CVE-2018-7600 • https://www.jpcert.or.jp/at/2018/at180012.ht ml •

    名前はかっこいい • 対策 • 対策済みのバージョンにアップデートする • Drupal 8.5.1/7.58/8.4.6/8.3.9 以上 • 8.2以前や6系にはパッチなしなので注意
  20. 20.

    その他

  21. 21.

    PHPUnit • PHPUnitのeval-stdin.phpにあるぜい弱性を突いた攻 撃 • CVE-2017-9841 • https://jvndb.jvn.jp/ja/contents/2017/JVNDB- 2017-005280.html •

    4.8.28未満 / 5.6.3未満が影響 • 対策 • アップデートする • パブリックな領域(DocumentRoot直下など)に置 かない
  22. 22.
    None
  23. 23.

    PHP関係ない?ログ

  24. 24.

    Git • /.gitとか/.git/HEADへのリクエストが多い • /prod/が付いたり/dev/が付いたりする • わかりやすい場所にGitを置くのは考え直しましょう • 最低限認証をかける •

    GitHubとかGitLabで管理することも検討
  25. 25.

    隠し系 • /.aws/credentials • /.ssh/id_rsa • この辺は流石にアクセスできるようになってないと 信じたい • DocumentRootの場所を考え直しましょう

    • /.env • ググると中身が引っかかる場合がある • .htaccessなどで弾きましょう
  26. 26.

    その他気になったもの • /?XDEBUG_SESSION_START=phpstorm • リモートデバッグに繋がると思っているのだろうか • 直接ネットに繋げていない限りないとは思いますが、 セッションIDを変えておきましょう • /.well-known/security.txt

    • 脅威というよりは何かあった時の連絡先 • https://securitytxt.org/ • あまり見かけない気がする
  27. 27.

    最後に • 紹介できなかったものは沢山あります • 「/manager/html」が4万件越えのリクエストが あるとか • 時期によって流行廃りがあるとか • こういうのが見られるのでハニーポットは楽しい

    • 植える際はセキュリティに気を付ける • ミイラ取りがミイラになってしまうので…
  28. 28.

    おまけ / アクセス元の分布図

  29. 29.

    自己紹介 • 木村俊彦(@taiko19xx) • 普段はAzure/AWSを構築したりいじったり • もちろんPHPも • 仙台から来ました

  30. 30.

    仙台といえば

  31. 31.
    None
  32. 32.

    チケット販売中! 本編 懇親会