ハニーポットから見たWebサーバへの攻撃PHP Conference 2018 Lightning [email protected]/12/15@taiko19xx / 木村 俊彦
View Slide
こんにちは!
突然ですがハニーポット知ってる人?
では、ハニーポット植えてる人?
今回の話• 趣味で植えてるハニーポットで記録したログにどんな攻撃があったか?という話です• 2018年4月~12月までのデータを集計した結果です• 環境によって差異があるのであくまで参考程度に• 最近いろいろあるので具体的な攻撃手法についてはあまり触れません• あしからず
PHPに関係した?ログ
PHP関係で一番多かったのは何でしょう?
phpMyAdmin• とにかく多い• 件数というよりはパターンが多い• 攻撃よりは存在チェックがメイン• あらゆるディレクトリに名変えて試行錯誤してくる
phpMyAdmin• CVEに247件あるぐらいなので標的にされやすい• https://www.cvedetails.com/vendor/784/Phpmyadmin.html• 古いバージョンのまま使ってたりするので辛い• ホスティングとかでもありがち• 対策• パブリックな領域に置かない• アクセス制御をする• ぜい弱性情報を欠かさず確認してアップデートする
CMSでは?
Joomla!• 「サーバのファイルをダウンロードできる」モジュールやコンポーネントの引数に、設定ファイル(configuration.php)のパスを渡してダウンロードしようとするパターンが大半• 対策• モジュールやコンポーネントの管理
WordPress• ログイン画面への辞書攻撃• wp-login.php• 設定ファイルを直で取得しようとしてくる• wp-config.php• 対策• 安易なユーザーとパスワードはやめましょう• .htaccessなどでwp-config.phpを保護
Drupal• Drupalgeddon 2の攻撃が何件か• CVE-2018-7600• https://www.jpcert.or.jp/at/2018/at180012.html• 名前はかっこいい• 対策• 対策済みのバージョンにアップデートする• Drupal 8.5.1/7.58/8.4.6/8.3.9 以上• 8.2以前や6系にはパッチなしなので注意
その他
PHPUnit• PHPUnitのeval-stdin.phpにあるぜい弱性を突いた攻撃• CVE-2017-9841• https://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-005280.html• 4.8.28未満 / 5.6.3未満が影響• 対策• アップデートする• パブリックな領域(DocumentRoot直下など)に置かない
PHP関係ない?ログ
Git• /.gitとか/.git/HEADへのリクエストが多い• /prod/が付いたり/dev/が付いたりする• わかりやすい場所にGitを置くのは考え直しましょう• 最低限認証をかける• GitHubとかGitLabで管理することも検討
隠し系• /.aws/credentials• /.ssh/id_rsa• この辺は流石にアクセスできるようになってないと信じたい• DocumentRootの場所を考え直しましょう• /.env• ググると中身が引っかかる場合がある• .htaccessなどで弾きましょう
その他気になったもの• /?XDEBUG_SESSION_START=phpstorm• リモートデバッグに繋がると思っているのだろうか• 直接ネットに繋げていない限りないとは思いますが、セッションIDを変えておきましょう• /.well-known/security.txt• 脅威というよりは何かあった時の連絡先• https://securitytxt.org/• あまり見かけない気がする
最後に• 紹介できなかったものは沢山あります• 「/manager/html」が4万件越えのリクエストがあるとか• 時期によって流行廃りがあるとか• こういうのが見られるのでハニーポットは楽しい• 植える際はセキュリティに気を付ける• ミイラ取りがミイラになってしまうので…
おまけ / アクセス元の分布図
自己紹介• 木村俊彦(@taiko19xx)• 普段はAzure/AWSを構築したりいじったり• もちろんPHPも• 仙台から来ました
仙台といえば
チケット販売中!本編 懇親会