www.morihi-soc.net

セキュリティの話題を中心に取扱中

Archive for the ‘WOWHoneypot’ Category

ハニーポット観察記録(40)「Ruby on Rails の脆弱性を狙ったコマンド実行の試み」

without comments

どうも。ハニーポッターの森久です。

今回は、WOWHoneypot で検知した Ruby on Rails(以下、RoR)のパラメータ解析処理の脆弱性(CVE-2013-0156)を突いた攻撃について紹介します。

RoR はプログラミング言語の Ruby で書かれている Web アプリケーションフレームワークです。RoR を使っているサイトとして、cookpad や食べログが有名ですね。検索すると他にも多くのサイトで導入されていることがわかります。
私自身は使った経験はありませんが、日本語のドキュメントや解説記事が多く公開されていて、日本人にも人気のようです。
もしかすると、読者の方が作った Web アプリに対しても攻撃がおこなわれているかもしれませんね。
それでは攻撃内容を紹介します。

 

Read the rest of this entry »

Written by morihisa

1月 14th, 2018 at 6:45 pm

ハニーポット観察記録(38)「WebLogic の WLS Security に対するコマンド実行の試み(CVE-2017-10271)」

without comments

どうも。ハニーポッターの森久です。

WOWHoneypot で、Oracle WebLogic Server の WLS Security に対するコマンド実行の試みと考えられる攻撃(CVE-2017-10271)を検知しました。

攻撃者は世界中にいます。平日・休日も関係なく、24/365で攻撃をしてきます。
このブログ記事のネタになった攻撃ログは2017年12月24日に検知していました。攻撃者からのクリスマスプレゼントかな?(いらない)

さてこの攻撃を検知したことをツイートしたところ、攻撃コード(PoC)が公開されており、実際に発生している攻撃の詳細が知りたいと連絡をいただいたので急遽、ブログ記事を書くことにしました。

 

Read the rest of this entry »

Written by morihisa

12月 27th, 2017 at 11:18 pm

ハニーポット観察記録(37)「WebShellの探索」

without comments

どうも。ハニーポッターの森久です。

今回は、前回と同様に WebShell に関する記事です。
自作のハニーポットである WOWHoneypot で、個人的にハイエナ手法と呼んでいる攻撃を検知しました。
この攻撃は誰かが設置した WebShell に対するコマンド実行の試みです。それでは紹介します。

 

Read the rest of this entry »

Written by morihisa

12月 22nd, 2017 at 3:29 am

ハニーポット観察記録(36)「phpMyAdminの設定不備を狙ったWebShell作成の試み」

without comments

どうも。ハニーポッターの森久です。

WOWHoneypot で phpMyAdmin の設定不備を狙った WebShell 作成の試みを検知しました。
phpMyAdmin はデータベースソフトウェアの1つである MySQL を Web から管理するプログラムの1つです。手軽に利用することができ非常に人気の高い反面、攻撃の対象になることも多いです。
phpMyAdmin をインストールするときに、通常はパスワードを設定します。これは正規のユーザ以外が、データベースを操作する画面にアクセスできないように制限するためです。

phpMyAdminログイン画面

 

しかし何らかの手違いによりパスワード設定をしなかったり、弱いパスワード(辞書に載っているような単語や推測可能な文字列)を設定していたりすると、攻撃者に不正ログインされてしまいます。
今回は、phpMyAdmin の操作画面にアクセスした攻撃者の行動を検知したので紹介します。

 

Read the rest of this entry »

Written by morihisa

12月 15th, 2017 at 4:41 pm

今年のログは今年のうちに

without comments

どうも。ハニーポッターの森久です。
今回は、Honeypot Advent Calendar 2017の3日目の記事です。

早いもので、2017年も12月になってしまいました。振り返ると、今年は1月にハニーポット観察記録を書籍化したところから始まり、そのご縁で大阪の tktk 勉強会に呼ばれていったり、ハニーポット技術交流会(第1回第2回)をはじめてみたり、自作の WOWHoneypot を公開してみたりと、イベント盛り沢山な一年でした。

ハニーポットの運用を始めた人もたくさんいると思いますが、今一度伝えたい事があります。

ログは分析しないと意味が無いぞ!

せっかくハニーポットにさまざまなログが蓄積されているのに、見ないのはもったいないです。
しかしハニーポット始めたばかりで、何をとっかかりとして分析をしたらいいかわからないという初心者ハニーポッターもいることでしょう。
そこでハニーポットのログ分析で、とりあえずここから始めてみたら面白いんじゃないかというテクニックをいくつかご紹介します。

Read the rest of this entry »

Written by morihisa

12月 3rd, 2017 at 11:08 pm