Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ハニーポットから見たWebサーバへの攻撃

Avatar for taiko19xx taiko19xx
December 15, 2018
Technology
0
2.9k

 ハニーポットから見たWebサーバへの攻撃

Avatar for taiko19xx

taiko19xx

December 15, 2018
Tweet

More Decks by taiko19xx

See All by taiko19xx
Bedrockで遊ぼう! 短期間で色々開発してみた
Avatar for taiko19xx taiko19xx
1
140
Incident Managerでインシデント発生時のエスカレーションを自動化する
Avatar for taiko19xx taiko19xx
0
250
Lambdaカスタムランタイムで PHPでもサーバーレス!
Avatar for taiko19xx taiko19xx
0
77
IoTっぽいアプリをk3s+Raspberry Piで実行する
Avatar for taiko19xx taiko19xx
0
330
PHPなプロダクトをAmazon ECSで開発運用してる話
Avatar for taiko19xx taiko19xx
0
1.2k
RaspberryPi+AWSでIoT(っぽ い)GPSロガーを作ってみた
Avatar for taiko19xx taiko19xx
0
1.6k
PHPからWin32APIをいじってみた
Avatar for taiko19xx taiko19xx
0
1.7k

Other Decks in Technology

See All in Technology
[TechNight #91] Oracle Database 最新パフォーマンス分析手法
Avatar for oracle4engineer oracle4engineer
PRO
4
300
Vision Language Modelと自動運転AIの最前線_20250730
Avatar for Yu Yamaguchi yuyamaguchi
2
880
解消したはずが…技術と人間のエラーが交錯する恐怖体験
Avatar for Lamaglama39 lamaglama39
0
150
VLMサービスを用いた請求書データ化検証 / SaaSxML_Session_1
Avatar for Sansan R&D sansan_randd
0
150
20250728 MCP, A2A and Multi-Agents in the future
Avatar for 吉田真吾 yoshidashingo
1
160
P2P ではじめる WebRTC のつまづきどころ
Avatar for tnoho tnoho
1
280
Tableau API連携の罠!?脱スプシを夢見たはずが、逆に依存を深めた話
Avatar for CUEBiC Inc. cuebic9bic
2
160
2025-07-31: GitHub Copilot Agent mode at Vibe Coding Cafe (15min)
Avatar for ちょまど chomado
2
280
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~
Avatar for Yasuhiro Orange Morishita / 森下泰宏 orangemorishita
7
1.3k
大規模イベントを支える ABEMA の アーキテクチャ 変遷 2025
Avatar for Katsutoshi Nagaoka nagapad
4
580
【CEDEC2025】大規模言語モデルを活用したゲーム内会話パートのスクリプト作成支援への取り組み
Avatar for Cygames cygames
PRO
1
540
마라톤 끝의 단거리 스퍼트: 2025년의 AI
Avatar for Jeongkyu Shin inureyes
PRO
1
200

Featured

See All Featured
Navigating Team Friction
Avatar for Lara Hogan lara
188
15k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
130
19k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.4k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
58
9.5k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
10
730
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
367
19k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
31
8.7k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
229
22k

Transcript

  1. ハニーポットから見た Webサーバへの攻撃 PHP Conference 2018 Lightning Talk@2018/12/15 @taiko19xx / 木村

    俊彦

  2. こんにちは!

  3. 突然ですが ハニーポット知ってる人?

  4. では、 ハニーポット植えてる人?

  5. 今回の話 • 趣味で植えてるハニーポットで記録したログにどんな 攻撃があったか?という話です • 2018年4月~12月までのデータを集計した結果です • 環境によって差異があるのであくまで参考程度に • 最近いろいろあるので具体的な攻撃手法についてはあ

    まり触れません • あしからず

  6. PHPに関係した?ログ

  7. PHP関係で 一番多かったのは 何でしょう?

  8. None

  9. phpMyAdmin • とにかく多い • 件数というよりはパターンが多い • 攻撃よりは存在チェックがメイン • あらゆるディレクトリに名変えて試行錯誤してくる

  10. None
  11. None
  12. None

  13. phpMyAdmin • CVEに247件あるぐらいなので標的にされやすい • https://www.cvedetails.com/vendor/784/Php myadmin.html • 古いバージョンのまま使ってたりするので辛い • ホスティングとかでもありがち

    • 対策 • パブリックな領域に置かない • アクセス制御をする • ぜい弱性情報を欠かさず確認してアップデートする

  14. CMSでは?

  15. None

  16. Joomla! • 「サーバのファイルをダウンロードできる」モジュー ルやコンポーネントの引数に、設定ファイル (configuration.php)のパスを渡してダウンロードし ようとするパターンが大半 • 対策 • モジュールやコンポーネントの管理

  17. None

  18. WordPress • ログイン画面への辞書攻撃 • wp-login.php • 設定ファイルを直で取得しようとしてくる • wp-config.php •

    対策 • 安易なユーザーとパスワードはやめましょう • .htaccessなどでwp-config.phpを保護

  19. Drupal • Drupalgeddon 2の攻撃が何件か • CVE-2018-7600 • https://www.jpcert.or.jp/at/2018/at180012.ht ml •

    名前はかっこいい • 対策 • 対策済みのバージョンにアップデートする • Drupal 8.5.1/7.58/8.4.6/8.3.9 以上 • 8.2以前や6系にはパッチなしなので注意

  20. その他

  21. PHPUnit • PHPUnitのeval-stdin.phpにあるぜい弱性を突いた攻 撃 • CVE-2017-9841 • https://jvndb.jvn.jp/ja/contents/2017/JVNDB- 2017-005280.html •

    4.8.28未満 / 5.6.3未満が影響 • 対策 • アップデートする • パブリックな領域(DocumentRoot直下など)に置 かない
  22. None

  23. PHP関係ない?ログ

  24. Git • /.gitとか/.git/HEADへのリクエストが多い • /prod/が付いたり/dev/が付いたりする • わかりやすい場所にGitを置くのは考え直しましょう • 最低限認証をかける •

    GitHubとかGitLabで管理することも検討

  25. 隠し系 • /.aws/credentials • /.ssh/id_rsa • この辺は流石にアクセスできるようになってないと 信じたい • DocumentRootの場所を考え直しましょう

    • /.env • ググると中身が引っかかる場合がある • .htaccessなどで弾きましょう

  26. その他気になったもの • /?XDEBUG_SESSION_START=phpstorm • リモートデバッグに繋がると思っているのだろうか • 直接ネットに繋げていない限りないとは思いますが、 セッションIDを変えておきましょう • /.well-known/security.txt

    • 脅威というよりは何かあった時の連絡先 • https://securitytxt.org/ • あまり見かけない気がする

  27. 最後に • 紹介できなかったものは沢山あります • 「/manager/html」が4万件越えのリクエストが あるとか • 時期によって流行廃りがあるとか • こういうのが見られるのでハニーポットは楽しい

    • 植える際はセキュリティに気を付ける • ミイラ取りがミイラになってしまうので…

  28. おまけ / アクセス元の分布図

  29. 自己紹介 • 木村俊彦(@taiko19xx) • 普段はAzure/AWSを構築したりいじったり • もちろんPHPも • 仙台から来ました

  30. 仙台といえば

  31. None

  32. チケット販売中! 本編 懇親会