www.morihi-soc.net

セキュリティの話題を中心に取扱中

Archive for the ‘ハニーポット観察記録’ Category

ハニーポット観察記録(36)「phpMyAdminの設定不備を狙ったWebShell作成の試み」

without comments

どうも。ハニーポッターの森久です。

WOWHoneypot で phpMyAdmin の設定不備を狙った WebShell 作成の試みを検知しました。
phpMyAdmin はデータベースソフトウェアの1つである MySQL を Web から管理するプログラムの1つです。手軽に利用することができ非常に人気の高い反面、攻撃の対象になることも多いです。
phpMyAdmin をインストールするときに、通常はパスワードを設定します。これは正規のユーザ以外が、データベースを操作する画面にアクセスできないように制限するためです。

phpMyAdminログイン画面

 

しかし何らかの手違いによりパスワード設定をしなかったり、弱いパスワード(辞書に載っているような単語や推測可能な文字列)を設定していたりすると、攻撃者に不正ログインされてしまいます。
今回は、phpMyAdmin の操作画面にアクセスした攻撃者の行動を検知したので紹介します。

 

Read the rest of this entry »

Written by morihisa

12月 15th, 2017 at 4:41 pm

ハニーポット観察記録(35)「Tomcat に対する jsp ファイルを PUT する試み」

without comments

どうも。ハニーポッターの森久です。

秋、楽しんでいますか? といいつつ、日に日に寒さがまして冬も近づいていますね。
最近、知ったのですが、「ハニーポット」という名前の競走馬がいるそうです。しかも先日、船橋競馬場でおこなわれた「馬に乗って秋を満喫!」というレースで1着になったとのこと。
ハニーポットすごい。1回は走っているところを見てみたいものですね。

さて今回は、Apache Tomcat でリモートからコードが実行される脆弱性(CVE-2017-12615/CVE-2017-12616/CVE-2017-12617)について取り上げます。

 

Read the rest of this entry »

Written by morihisa

11月 19th, 2017 at 6:15 am

ハニーポット観察記録(34)「sql ファイルへのアクセスの試み」

without comments

どうも。ハニーポッターの森久です。

インターネットの隅っこで情報発信をしているこのブログにまで目を通していただいているみなさまにおかれましては、かなり情報収集に力を入れているものとお見受けします。いつもありがとうございます。

さてみなさんは、情報収集で得た情報は活用されていますか?

攻撃手法の詳細や脅威の痕跡・兆候を示す IoC(Indicators of Compromise)などの情報が公開されている場合は、その攻撃を受けていないか調査をした方がいい場合があります。
たとえば 0day の攻撃や攻撃ツールが公開されたという情報の場合です。

先日、JPCERT/CC より国内の多数の Web サイトで、データベースのダンプファイルが公開状態にあるという問題を取り上げた記事が公開されました(*1)。
データベースのダンプファイルとは、いわゆるデータベースの構造やデータが記録されたファイルで、主にバックアップ用に保存されるファイルです。
次の画像はダンプファイルのサンプルです。テーブルの構造が読み取れることがわかりますね。

図. データベースのダンプファイルのサンプル

JPCERT/CC の記事から辿っていくと、世界中の Web サイトの問題として取り上げられていたので(*2)、どうやら影響範囲は広く、記事を読んだ攻撃者がアクセスをしてきそうな気配がします。
そこでハニーポッターらしく、ダンプファイルへのアクセス有無について調査してみました。

 

Read the rest of this entry »

Written by morihisa

8月 12th, 2017 at 8:39 am

ハニーポット観察記録(33)「Struts2 S2-045を狙った攻撃」

without comments

どうも。ハニーポッターの森久です。

2017年3月6日にApache Struts2 における脆弱性(S2-045/CVE-2017-5638)が公開されました。またこの脆弱性を攻撃する PoC(Proof of concept)も公開されており、攻撃が流行っています。
日本国内の Web サイトでも被害が発生しており、ニュースで一部報道されています。

都税のサイトに不正アクセス 67万件余の個人情報流出か(NHK ニュース Web)
http://www3.nhk.or.jp/news/html/20170310/k10010906691000.html

Webアプリケーション製作者、サーバ管理者、セキュリティエンジニア、脆弱性対策やインシデントレスポンスなどに関わっている皆様、Struts は毎度のことながら対応お疲れ様です。本当にお疲れ様です。

 

今回は、ハニーポットにて、S2-045 の脆弱性を狙った攻撃を検知したのでご紹介します。

Read the rest of this entry »

Written by morihisa

3月 13th, 2017 at 5:42 am

「ハニーポット観察記録」書籍化のお知らせ

without comments

どうも。ハニーポッターの森久です。

このたび、私のブログ(morihi-soc.net)の「ハニーポット観察記録」シリーズの記事が書籍になります!

ITエンジニアのみなさんを対象として「ログ」を分析することの大切さと面白さを伝えるために書いた、ログ分析の解説書です。

 

ハニーポット観察記録 表紙

書籍情報

■書名
サイバー攻撃の足跡を分析する ハニーポット観察記録

■著者
森久 和昭

■発行元
株式会社秀和システム

■発売日
2017年1月27日より順次発売開始(地域・書店様によって異なります)

■本体価格(税別)
2,200円

■ISBN
978-4-7980-4908-3

■判型
A5判

■刷色
1色刷


Read the rest of this entry »

Written by morihisa

1月 23rd, 2017 at 7:10 am

ハニーポット観察記録(32)「Wireless Routerの管理画面におけるOSコマンドインジェクション」

without comments

どうも。ハニーポッターの森久です。

ここ数日で、ZyXEL 社の Eir D1000 Wireless Router の管理画面における、OS コマンドインジェクションを狙った攻撃の検知が急増しました。

Read the rest of this entry »

Written by morihisa

11月 28th, 2016 at 1:22 am

ハニーポット観察記録(31)「OS コマンドインジェクションの試み」

without comments

どうも。ハニーポッターの森久です。
オリジナルハニーポットで、非常にオーソドックスな OS コマンドインジェクションによるコマンド実行の攻撃を検知しました。

Read the rest of this entry »

Written by morihisa

10月 20th, 2015 at 5:29 am

ハニーポット観察記録(30) 「BIND の TEKY DoS」

without comments

BIND お見舞い申し上げます。ハニーポッターの森久です。

毎年7月には DNS サーバの BIND の脆弱性がよく公開される時期です。今年もまたある脆弱性が公開されました。しかも容易に攻撃可能で危険性の高い脆弱性が!
ハニーポットでこの脆弱性を狙った攻撃を検知したので紹介します。

Read the rest of this entry »

Written by morihisa

8月 27th, 2015 at 8:30 pm

ハニーポット観察記録(29) 「HTTP.sys の脆弱性を狙った攻撃」

without comments

どうも.ハニーポッターの森久です.

オリジナルハニーポットで Windows Server の”あの”脆弱性を狙った攻撃を検知しました.

Read the rest of this entry »

Written by morihisa

8月 9th, 2015 at 11:04 pm

ハニーポット観察記録(28) 「nosqlpot(NoPo)の紹介」

without comments

どうも.ハニーポッターの森久です.

今回はちょっと珍しい NoSQL データベースのハニーポットを構築できる nosqlpot(NoPo)を紹介します.

NoSQL が何かわからない人は,とりあえず Wikipedia をご参照ください.

NoPo は NoSQL データベースのハニーポットを構築するフレームワークです.コンフィグを用意することによって,NoSQL データベースに対する攻撃をログとして保存します.

Read the rest of this entry »

Written by morihisa

6月 15th, 2015 at 10:52 pm