最近の攻撃的アクセス
このサイトを公開してから攻撃的なリクエストが届いています. HTTPサーバへの攻撃などいちいち顧みることでもないのですが, なんとなく,ここにそれをまとめてみようと思います. ここに紹介するのは2月にあったアクセスです.
まずBad Access(400)となったものです.
/x
/
*
/, /xはURL以外の部分が不正だったのでしょうか.きちんと実装されていないHTTPサーバを狙ったもののようですが, 一体どれだけそんなものがあるのでしょう.
以降は404となったものです.何種類かあるので分けてみていきます.
まず,こんなものがありました.
/
このサイトは,名前ベースバーチャルホストmiimou.mydns.jpとして公開しています. そのためHTTP/1.1対応のまともなWebブラウザでHost: miimou.mydns.jpをつけない場合, 404が帰ります.
とても多いのがphpMyAdmin狙いの攻撃です.
/phpmyadmin/scripts/setup.php
/scripts/setup.php
/myadmin/scripts/setup.php
/phpMyAdmin/scripts/setup.php
/pma/scripts/setup.php
/mysql/scripts/setup.php
/admin/scripts/setup.php
/dbadmin/scripts/setup.php
/phpMyAdmin2/scripts/setup.php
/MyAdmin/scripts/setup.php
/PhpMyAdmin/scripts/setup.php
/php-my-admin/scripts/setup.php
/mysqladmin/scripts/setup.php
/db/scripts/setup.php
/admindb/scripts/setup.php
/_phpmyadmin/scripts/setup.php
/phpmyadmin/scripts/_setup.php
/phpMyAdmin/scripts/_setup.php
/phpmyadmin/scripts/Setup.php
/phpmyadmin_/scripts/setup.php
/admin/phpmyadmin/scripts/setup.php
/phpMyAdmin/scripts.setup.php
/phpMyAdmin/scripts/Setup.php
/sql/scripts/setup.php
/phpmyadmin2/scripts/setup.php
/phpMyAdmin/scripts/setup0.php
/_phpMyAdmin/scripts/setup.php
/PMA/scripts/setup.php
/PHPMYADMIN/scripts/setup.php
/phpMyAdmin_/scripts/setup.php
/phpMyAdmin/scripts/setup1.php
/phpmyadmin/scripts/setup1.php
/admin/phpMyAdmin/scripts/setup.php
//phpMyAdmin/scripts/setup.php
//phpmyadmin/scripts/setup.php
//pma/scripts/setup.php
/phpMyAdmin1/scripts/setup.php
/phpmyadmin/_scripts/setup.php
/phpMyAdmin/_scripts/setup.php
http://<本サーバIPアドレス>:80/admin/web/
http://<本サーバIPアドレス>:80/PMA2013/
http://<本サーバIPアドレス>:80/db/websql/
http://<本サーバIPアドレス>:80/pma2016/
http://<本サーバIPアドレス>:80/pma2018/
http://<本サーバIPアドレス>:80/pma2012/
http://<本サーバIPアドレス>:80/mysqladmin/
http://<本サーバIPアドレス>:80/db/dbweb/
http://<本サーバIPアドレス>:80/MyAdmin/
http://<本サーバIPアドレス>:80/pma2014/
http://<本サーバIPアドレス>:80/PMA2015/
http://<本サーバIPアドレス>:80/administrator/phpmyadmin/
http://<本サーバIPアドレス>:80/admin/sqladmin/
http://<本サーバIPアドレス>:80/phpmyadmin2/
http://<本サーバIPアドレス>:80/admin/pMA/
http://<本サーバIPアドレス>:80/phpmyAdmin/
http://<本サーバIPアドレス>:80/phpmy-admin/
http://<本サーバIPアドレス>:80/PMA2016/
http://<本サーバIPアドレス>:80/sql/sql/
http://<本サーバIPアドレス>:80/db/myadmin/
http://<本サーバIPアドレス>:80/database/
http://<本サーバIPアドレス>:80/pma2011/
http://<本サーバIPアドレス>:80/administrator/phpMyAdmin/
http://<本サーバIPアドレス>:80/sql/phpmyadmin2/
http://<本サーバIPアドレス>:80/sql/sql-admin/
http://<本サーバIPアドレス>:80/db/webadmin/
http://<本サーバIPアドレス>:80/mysql/db/
http://<本サーバIPアドレス>:80/mysql/dbadmin/
http://<本サーバIPアドレス>:80/phpmyadmin2013/
http://<本サーバIPアドレス>:80/phpMyAdmin/
http://<本サーバIPアドレス>:80/pma/
http://<本サーバIPアドレス>:80/mysql/pMA/
http://<本サーバIPアドレス>:80/phpmyadmin2014/
http://<本サーバIPアドレス>:80/db/webdb/
http://<本サーバIPアドレス>:80/phpmyadmin3/
http://<本サーバIPアドレス>:80/pma2013/
http://<本サーバIPアドレス>:80/PMA2017/
http://<本サーバIPアドレス>:80/2phpmyadmin/
http://<本サーバIPアドレス>:80/php-myadmin/
http://<本サーバIPアドレス>:80/administrator/admin/
http://<本サーバIPアドレス>:80/db/phpMyAdmin3/
http://<本サーバIPアドレス>:80/db/dbadmin/
http://<本サーバIPアドレス>:80/dbadmin/
http://<本サーバIPアドレス>:80/sql/webdb/
http://<本サーバIPアドレス>:80/pma2017/
http://<本サーバIPアドレス>:80/sql/sqladmin/
http://<本サーバIPアドレス>:80/administrator/PMA/
http://<本サーバIPアドレス>:80/administrator/db/
http://<本サーバIPアドレス>:80/phpmy/
http://<本サーバIPアドレス>:80/sql/phpmanager/
http://<本サーバIPアドレス>:80/PMA/
http://<本サーバIPアドレス>:80/mysql/
http://<本サーバIPアドレス>:80/db/
http://<本サーバIPアドレス>:80/sql/websql/
http://<本サーバIPアドレス>:80/sql/php-myadmin/
http://<本サーバIPアドレス>:80/mysql/pma/
http://<本サーバIPアドレス>:80/admin/
http://<本サーバIPアドレス>:80/admin/sysadmin/
http://<本サーバIPアドレス>:80/db/phpmyadmin/
http://<本サーバIPアドレス>:80/phpmyadmin4/
http://<本サーバIPアドレス>:80/db/phpMyAdmin/
http://<本サーバIPアドレス>:80/myadmin/
http://<本サーバIPアドレス>:80/sql/sqlweb/
http://<本サーバIPアドレス>:80/PMA2012/
http://<本サーバIPアドレス>:80/sql/phpmy-admin/
http://<本サーバIPアドレス>:80/phpmyadmin2012/
http://<本サーバIPアドレス>:80/phppma/
http://<本サーバIPアドレス>:80/sqlmanager/
http://<本サーバIPアドレス>:80/admin/db/
http://<本サーバIPアドレス>:80/mysql/mysqlmanager/
http://<本サーバIPアドレス>:80/db/phpMyAdmin-3/
http://<本サーバIPアドレス>:80/mysql/web/
http://<本サーバIPアドレス>:80/php-my-admin/
http://<本サーバIPアドレス>:80/administrator/pma/
http://<本サーバIPアドレス>:80/phpmyadmin2016/
http://<本サーバIPアドレス>:80/phpMyAdmin4/
http://<本サーバIPアドレス>:80/admin/phpMyAdmin/
http://<本サーバIPアドレス>:80/db/phpmyadmin3/
http://<本サーバIPアドレス>:80/mysql/sqlmanager/
http://<本サーバIPアドレス>:80/phpMyAdmin-3/
http://<本サーバIPアドレス>:80/sql/phpMyAdmin2/
http://<本サーバIPアドレス>:80/phpmyadmin2017/
http://<本サーバIPアドレス>:80/phpMyadmin/
http://<本サーバIPアドレス>:80/phpmyadmin2018/
http://<本サーバIPアドレス>:80/sql/myadmin/
http://<本サーバIPアドレス>:80/mysqlmanager/
http://<本サーバIPアドレス>:80/db/db-admin/
http://<本サーバIPアドレス>:80/pma2015/
/phpMyAdmin/scripts/db_setup.init.php
http://<本サーバIPアドレス>:80/admin/phpmyadmin/
http://<本サーバIPアドレス>:80/phpMyAdmin2/
http://<本サーバIPアドレス>:80/sql/phpMyAdmin/
http://<本サーバIPアドレス>:80/sql/webadmin/
http://<本サーバIPアドレス>:80/mysql-admin/
http://<本サーバIPアドレス>:80/PMA2018/
http://<本サーバIPアドレス>:80/shopdb/
http://<本サーバIPアドレス>:80/phpmanager/
http://<本サーバIPアドレス>:80/phpmyadmin2011/
http://<本サーバIPアドレス>:80/phpMyAdmin3/
http://<本サーバIPアドレス>:80/PMA2014/
http://<本サーバIPアドレス>:80/administrator/web/
http://<本サーバIPアドレス>:80/mysql/admin/
http://<本サーバIPアドレス>:80/PMA2011/
/typo3/phpmyadmin/index.php
/admin/PMA/index.php
/mysqladmin/index.php
/phpMyadmin_bak/index.php
/phpMyAdmin/
/dbadmin/index.php
/admin/scripts/scripts/setup.php
/scripts/scripts/setup.php
/phpMyAdmin/index.php
/xampp/phpmyadmin/index.php
/sqladm/scripts/setup.php
/php/phpmyadmin/scripts/setup.php
/db/index.php
/admin/sql/scripts/setup.php
/PMA/index.php
/admin/pma/scripts/setup.php
//mysqladmin/scripts/setup.php
/admin/phpMyAdmin/index.php
/web/phpmyadmin/scripts/setup.php
/database/scripts/scripts/setup.php
/myAdmin/scripts/setup.php
/pmamy2/index.php
/myadmin2/index.php
/pma/index.php
/admin/mysql2/index.php
/admin/phpmyadmin/index.php
/phpmyadmin-old/index.php
/claroline/phpMyAdmin/index.php
/phpmyadmin/
/web/phpMyAdmin/index.php
/PMA2/index.php
/blog/phpmyadmin/scripts/setup.php
/tools/phpMyAdmin/index.php
/phpadmin/scripts/setup.php
/admin/phpmyadmin2/index.php
/phpMyAdmin/phpMyAdmin/index.php
/phpmyadmin/index.php
/www/phpMyAdmin/index.php
/mysql-admin/index.php
/phpmyadmin1/index.php
/phpmyadmin2/index.php
/web/phpMyAdmin/scripts/setup.php
/admin/pma/index.php
/mysql/index.php
/phpma/index.php
/phpmyadmin0/index.php
/phpadmin/index.php
/phpmyadmin/phpmyadmin/index.php
このネタの多様さはjawp:LTA:156を思い出します. ブログソフトウェアのフォルダに一緒に詰め込んだまま忘れ去っているPMAを狙うなど結構賢い攻撃が見られます. 攻撃先としてWordPressなんかは有名ですが,この執拗さだと被害もそれなりに出ていそうです. 私の初めてのウェブサイトではパスワードが"1"なPMAが/phpmyadmin/に置いてありましたが,あれが破られた気配はありませんでした. 嫌な時代になったものです.
何事かと思うようなアクセスもあります.
http://www.baidu.com/
これはオープンプロキシを攻撃するときに登場するパターンです. 前にやらかした時には自宅の無線LANが重くなりました(当時はサーバが無線LANの先にあった). ログでこれを見つけて200になっていると気付いた時の驚きと恐怖は忘れられません. Baiduは中国で有名なので,中国人が串探しでもしているのかもしれません.
各種ツールの管理画面も狙われています.
/getcfg.php
/epgrec/do-record.sh
/foltia/
/tmUnblock.cgi
/cgi/common.cgi
/wls-wsat/CoordinatorPortType
/hndUnblock.cgi
/cools.php
/sysadmin/
//wp-login.php
/checkadmin/
/wordpress//wp-login.php
/admin_area/
/cgi-bin/test.cgi
/manage/
/admin888/
/AdminWeb/
/moderator/
WordPressが意外に少ないです. これはWordPressはディレクトリ構造が決まっているうえにHTMLにGeneratorなどを記すことを利用して, /だけ見て帰ったからではないでしょうか. 攻撃者もコストをかけたくないようです. マイナーなやつだとこのようなシグニチャがなかったり,攻撃者があまり丁寧なスクリプトを組んでいなかったりで跡が残るようですね.
そしてなぜかバリエーションが多いのがこれ.
/Editor/
/fck2/editor/dialog/fck_about.html
/FCKeditor/editor/dialog/fck_about.html
/FCK/editor/dialog/fck_about.html
/Fck/editor/dialog/fck_about.html
/_whatsnew.html
/ckeditor/_whatsnew.html
/FCKEditorV2/editor/dialog/fck_about.html
/Fck/_whatsnew.html
/ckeditor/editor/dialog/fck_about.html
/fckedit/editor/dialog/fck_about.html
/FCK/_whatsnew.html
/FCKeditor/_whatsnew.htm
/fck2/_whatsnew.html
/fck/editor/dialog/fck_about.html
/fck/_whatsnew.html
/fckeditor/_whatsnew.html
/editor/dialog/fck_about.html
/FCKEditorV2/_whatsnew.html
/fckeditor/editor/dialog/fck_about.html
これらはCKEditorを探していると思うのですが,なんか多いです.
最後に紹介するのはこれです.
/.ftpconfig
/.git/HEAD
/.git/index
/.vscode/ftp-sync.json
私のような静的サイトジェネレータ使いを狙っていると見られる, 開発ディレクトリのファイルを探す攻撃です. 万が一そこに認証情報があったりすると,サイトを書き換えられてしまいます. Hugoはきちんと書き出し用ディレクトリを分けているのでそこは安心です.