Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ハニーポットから見たWebサーバへの攻撃

taiko19xx
December 15, 2018
Technology
0
2.4k

 ハニーポットから見たWebサーバへの攻撃

taiko19xx

December 15, 2018
Tweet

More Decks by taiko19xx

See All by taiko19xx
Incident Managerでインシデント発生時のエスカレーションを自動化する
taiko19xx
0
70
Lambdaカスタムランタイムで PHPでもサーバーレス!
taiko19xx
0
60
IoTっぽいアプリをk3s+Raspberry Piで実行する
taiko19xx
0
210
PHPなプロダクトをAmazon ECSで開発運用してる話
taiko19xx
0
830
RaspberryPi+AWSでIoT(っぽ い)GPSロガーを作ってみた
taiko19xx
0
1.2k
PHPからWin32APIをいじってみた
taiko19xx
0
1.3k

Other Decks in Technology

See All in Technology
世界モデルによる4脚ロボットの歩行学習
robots
1
330
オブジェクト指向に基づいた ユニットテストのメリット#PHPerKaigi2023
mako5656
0
130
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
1
2.5k
PM同士のレトロスペクティブのすゝめ
bengo4com
0
100
『登記所備付地図XMLデータ』に触れてみよう〜法務省が公開した大規模オープンデータとは一体何なのか〜 / What is moj map xml
sakaik
0
180
Software Craftsmanship against Nova Era
koic
0
350
自分のデータは自分で守る - あなたのCI/CDパイプラインをセキュアにする処方箋
jacopen
4
480
ITエンジニアとして大切にしている3つのこと
korodroid
1
640
プロ野球をデータモデリングしてみたら沼だった件 / Baseball ERD Modeling to be obsessed
gothedistance
1
120
AWS CDKで作るCloudWatch Dashboard
harukasakihara
3
740
AstroNvim を使おう!
ybrliiu
0
210
大規模言語モデルで変わるMLシステム開発
hirosatogamo
13
11k

Featured

See All Featured
The World Runs on Bad Software
bkeepers
PRO
59
5.8k
Practical Orchestrator
shlominoach
178
9k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
12
1.4k
Rebuilding a faster, lazier Slack
samanthasiow
70
7.6k
Optimizing for Happiness
mojombo
366
65k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
270
12k
Creatively Recalculating Your Daily Design Routine
revolveconf
207
11k
How to name files
jennybc
49
77k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8k
Intergalactic Javascript Robots from Outer Space
tanoku
261
26k
How STYLIGHT went responsive
nonsquared
89
4.3k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
8
680

Transcript

  1. ハニーポットから見た
    Webサーバへの攻撃
    PHP Conference 2018 Lightning [email protected]/12/15
    @taiko19xx / 木村 俊彦

    View Slide

  2. こんにちは!

    View Slide

  3. 突然ですが
    ハニーポット知ってる人?

    View Slide

  4. では、
    ハニーポット植えてる人?

    View Slide

  5. 今回の話
    • 趣味で植えてるハニーポットで記録したログにどんな
    攻撃があったか?という話です
    • 2018年4月~12月までのデータを集計した結果です
    • 環境によって差異があるのであくまで参考程度に
    • 最近いろいろあるので具体的な攻撃手法についてはあ
    まり触れません
    • あしからず

    View Slide

  6. PHPに関係した?ログ

    View Slide

  7. PHP関係で
    一番多かったのは
    何でしょう?

    View Slide

  8. View Slide

  9. phpMyAdmin
    • とにかく多い
    • 件数というよりはパターンが多い
    • 攻撃よりは存在チェックがメイン
    • あらゆるディレクトリに名変えて試行錯誤してくる

    View Slide

  10. View Slide

  11. View Slide

  12. View Slide

  13. phpMyAdmin
    • CVEに247件あるぐらいなので標的にされやすい
    • https://www.cvedetails.com/vendor/784/Php
    myadmin.html
    • 古いバージョンのまま使ってたりするので辛い
    • ホスティングとかでもありがち
    • 対策
    • パブリックな領域に置かない
    • アクセス制御をする
    • ぜい弱性情報を欠かさず確認してアップデートする

    View Slide

  14. CMSでは?

    View Slide

  15. View Slide

  16. Joomla!
    • 「サーバのファイルをダウンロードできる」モジュー
    ルやコンポーネントの引数に、設定ファイル
    (configuration.php)のパスを渡してダウンロードし
    ようとするパターンが大半
    • 対策
    • モジュールやコンポーネントの管理

    View Slide

  17. View Slide

  18. WordPress
    • ログイン画面への辞書攻撃
    • wp-login.php
    • 設定ファイルを直で取得しようとしてくる
    • wp-config.php
    • 対策
    • 安易なユーザーとパスワードはやめましょう
    • .htaccessなどでwp-config.phpを保護

    View Slide

  19. Drupal
    • Drupalgeddon 2の攻撃が何件か
    • CVE-2018-7600
    • https://www.jpcert.or.jp/at/2018/at180012.ht
    ml
    • 名前はかっこいい
    • 対策
    • 対策済みのバージョンにアップデートする
    • Drupal 8.5.1/7.58/8.4.6/8.3.9 以上
    • 8.2以前や6系にはパッチなしなので注意

    View Slide

  20. その他

    View Slide

  21. PHPUnit
    • PHPUnitのeval-stdin.phpにあるぜい弱性を突いた攻

    • CVE-2017-9841
    • https://jvndb.jvn.jp/ja/contents/2017/JVNDB-
    2017-005280.html
    • 4.8.28未満 / 5.6.3未満が影響
    • 対策
    • アップデートする
    • パブリックな領域(DocumentRoot直下など)に置
    かない

    View Slide

  22. View Slide

  23. PHP関係ない?ログ

    View Slide

  24. Git
    • /.gitとか/.git/HEADへのリクエストが多い
    • /prod/が付いたり/dev/が付いたりする
    • わかりやすい場所にGitを置くのは考え直しましょう
    • 最低限認証をかける
    • GitHubとかGitLabで管理することも検討

    View Slide

  25. 隠し系
    • /.aws/credentials
    • /.ssh/id_rsa
    • この辺は流石にアクセスできるようになってないと
    信じたい
    • DocumentRootの場所を考え直しましょう
    • /.env
    • ググると中身が引っかかる場合がある
    • .htaccessなどで弾きましょう

    View Slide

  26. その他気になったもの
    • /?XDEBUG_SESSION_START=phpstorm
    • リモートデバッグに繋がると思っているのだろうか
    • 直接ネットに繋げていない限りないとは思いますが、
    セッションIDを変えておきましょう
    • /.well-known/security.txt
    • 脅威というよりは何かあった時の連絡先
    • https://securitytxt.org/
    • あまり見かけない気がする

    View Slide

  27. 最後に
    • 紹介できなかったものは沢山あります
    • 「/manager/html」が4万件越えのリクエストが
    あるとか
    • 時期によって流行廃りがあるとか
    • こういうのが見られるのでハニーポットは楽しい
    • 植える際はセキュリティに気を付ける
    • ミイラ取りがミイラになってしまうので…

    View Slide

  28. おまけ / アクセス元の分布図

    View Slide

  29. 自己紹介
    • 木村俊彦(@taiko19xx)
    • 普段はAzure/AWSを構築したりいじったり
    • もちろんPHPも
    • 仙台から来ました

    View Slide

  30. 仙台といえば

    View Slide

  31. View Slide

  32. チケット販売中!
    本編 懇親会

    View Slide