Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ハニーポットから見たWebサーバへの攻撃

Avatar for taiko19xx taiko19xx
December 15, 2018
Technology
0
2.9k

 ハニーポットから見たWebサーバへの攻撃

Avatar for taiko19xx

taiko19xx

December 15, 2018
Tweet

More Decks by taiko19xx

See All by taiko19xx
Bedrockで遊ぼう! 短期間で色々開発してみた
Avatar for taiko19xx taiko19xx
1
140
Incident Managerでインシデント発生時のエスカレーションを自動化する
Avatar for taiko19xx taiko19xx
0
250
Lambdaカスタムランタイムで PHPでもサーバーレス!
Avatar for taiko19xx taiko19xx
0
79
IoTっぽいアプリをk3s+Raspberry Piで実行する
Avatar for taiko19xx taiko19xx
0
340
PHPなプロダクトをAmazon ECSで開発運用してる話
Avatar for taiko19xx taiko19xx
0
1.3k
RaspberryPi+AWSでIoT(っぽ い)GPSロガーを作ってみた
Avatar for taiko19xx taiko19xx
0
1.6k
PHPからWin32APIをいじってみた
Avatar for taiko19xx taiko19xx
0
1.7k

Other Decks in Technology

See All in Technology
Goに育てられ開発者向けセキュリティ事業を立ち上げた僕が今向き合う、AI × セキュリティの最前線 / Go Conference 2025
Avatar for GMO Flatt Security flatt_security
0
360
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
9.1k
Why Governance Matters: The Key to Reducing Risk Without Slowing Down
Avatar for Sarah Wells sarahjwells
0
120
小学4年生夏休みの自由研究「ぼくと Copilot エージェント」
Avatar for Taichi Nakamura taichinakamura
0
510
ガバメントクラウド(AWS)へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mitsutosi Matsuo
Avatar for SHIFT EVOLVE shift_evolve
PRO
2
140
LLM時代にデータエンジニアの役割はどう変わるか?
Avatar for Ikki Miyazaki ikkimiyazaki
4
1k
大規模サーバーレスAPIの堅牢性・信頼性設計 〜AWSのベストプラクティスから始まる現実的制約との向き合い方〜
Avatar for mai miya maimyyym
2
200
これがLambdaレス時代のChatOpsだ!実例で学ぶAmazon Q Developerカスタムアクション活用法
Avatar for iwamot iwamot
PRO
4
160
セキュアな認可付きリモートMCPサーバーをAWSマネージドサービスでつくろう! / Let's build an OAuth protected remote MCP server based on AWS managed services
Avatar for 株式会社カミナシ kaminashi
2
170
社内お問い合わせBotの仕組みと学び
Avatar for Tomoyuki Nishimura nish01
1
480
データエンジニアがこの先生きのこるには...?
Avatar for 10xinc 10xinc
0
460
PLaMoの事後学習を支える技術 / PFN LLMセミナー
Avatar for Preferred Networks pfn
PRO
9
3.9k

Featured

See All Featured
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.7k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
431
66k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
53k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
970
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
514
110k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
57
5.9k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
657
61k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
28
4k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.8k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.9k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
43
7.7k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
6.9k

Transcript

  1. ハニーポットから見た Webサーバへの攻撃 PHP Conference 2018 Lightning Talk@2018/12/15 @taiko19xx / 木村

    俊彦

  2. こんにちは!

  3. 突然ですが ハニーポット知ってる人?

  4. では、 ハニーポット植えてる人?

  5. 今回の話 • 趣味で植えてるハニーポットで記録したログにどんな 攻撃があったか?という話です • 2018年4月~12月までのデータを集計した結果です • 環境によって差異があるのであくまで参考程度に • 最近いろいろあるので具体的な攻撃手法についてはあ

    まり触れません • あしからず

  6. PHPに関係した?ログ

  7. PHP関係で 一番多かったのは 何でしょう?

  8. None

  9. phpMyAdmin • とにかく多い • 件数というよりはパターンが多い • 攻撃よりは存在チェックがメイン • あらゆるディレクトリに名変えて試行錯誤してくる

  10. None
  11. None
  12. None

  13. phpMyAdmin • CVEに247件あるぐらいなので標的にされやすい • https://www.cvedetails.com/vendor/784/Php myadmin.html • 古いバージョンのまま使ってたりするので辛い • ホスティングとかでもありがち

    • 対策 • パブリックな領域に置かない • アクセス制御をする • ぜい弱性情報を欠かさず確認してアップデートする

  14. CMSでは?

  15. None

  16. Joomla! • 「サーバのファイルをダウンロードできる」モジュー ルやコンポーネントの引数に、設定ファイル (configuration.php)のパスを渡してダウンロードし ようとするパターンが大半 • 対策 • モジュールやコンポーネントの管理

  17. None

  18. WordPress • ログイン画面への辞書攻撃 • wp-login.php • 設定ファイルを直で取得しようとしてくる • wp-config.php •

    対策 • 安易なユーザーとパスワードはやめましょう • .htaccessなどでwp-config.phpを保護

  19. Drupal • Drupalgeddon 2の攻撃が何件か • CVE-2018-7600 • https://www.jpcert.or.jp/at/2018/at180012.ht ml •

    名前はかっこいい • 対策 • 対策済みのバージョンにアップデートする • Drupal 8.5.1/7.58/8.4.6/8.3.9 以上 • 8.2以前や6系にはパッチなしなので注意

  20. その他

  21. PHPUnit • PHPUnitのeval-stdin.phpにあるぜい弱性を突いた攻 撃 • CVE-2017-9841 • https://jvndb.jvn.jp/ja/contents/2017/JVNDB- 2017-005280.html •

    4.8.28未満 / 5.6.3未満が影響 • 対策 • アップデートする • パブリックな領域(DocumentRoot直下など)に置 かない
  22. None

  23. PHP関係ない?ログ

  24. Git • /.gitとか/.git/HEADへのリクエストが多い • /prod/が付いたり/dev/が付いたりする • わかりやすい場所にGitを置くのは考え直しましょう • 最低限認証をかける •

    GitHubとかGitLabで管理することも検討

  25. 隠し系 • /.aws/credentials • /.ssh/id_rsa • この辺は流石にアクセスできるようになってないと 信じたい • DocumentRootの場所を考え直しましょう

    • /.env • ググると中身が引っかかる場合がある • .htaccessなどで弾きましょう

  26. その他気になったもの • /?XDEBUG_SESSION_START=phpstorm • リモートデバッグに繋がると思っているのだろうか • 直接ネットに繋げていない限りないとは思いますが、 セッションIDを変えておきましょう • /.well-known/security.txt

    • 脅威というよりは何かあった時の連絡先 • https://securitytxt.org/ • あまり見かけない気がする

  27. 最後に • 紹介できなかったものは沢山あります • 「/manager/html」が4万件越えのリクエストが あるとか • 時期によって流行廃りがあるとか • こういうのが見られるのでハニーポットは楽しい

    • 植える際はセキュリティに気を付ける • ミイラ取りがミイラになってしまうので…

  28. おまけ / アクセス元の分布図

  29. 自己紹介 • 木村俊彦(@taiko19xx) • 普段はAzure/AWSを構築したりいじったり • もちろんPHPも • 仙台から来ました

  30. 仙台といえば

  31. None

  32. チケット販売中! 本編 懇親会