www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(34)「sql ファイルへのアクセスの試み」

どうも。ハニーポッターの森久です。

インターネットの隅っこで情報発信をしているこのブログにまで目を通していただいているみなさまにおかれましては、かなり情報収集に力を入れているものとお見受けします。いつもありがとうございます。

さてみなさんは、情報収集で得た情報は活用されていますか?

攻撃手法の詳細や脅威の痕跡・兆候を示す IoC(Indicators of Compromise)などの情報が公開されている場合は、その攻撃を受けていないか調査をした方がいい場合があります。
たとえば 0day の攻撃や攻撃ツールが公開されたという情報の場合です。

先日、JPCERT/CC より国内の多数の Web サイトで、データベースのダンプファイルが公開状態にあるという問題を取り上げた記事が公開されました(*1)。
データベースのダンプファイルとは、いわゆるデータベースの構造やデータが記録されたファイルで、主にバックアップ用に保存されるファイルです。
次の画像はダンプファイルのサンプルです。テーブルの構造が読み取れることがわかりますね。

図. データベースのダンプファイルのサンプル

JPCERT/CC の記事から辿っていくと、世界中の Web サイトの問題として取り上げられていたので(*2)、どうやら影響範囲は広く、記事を読んだ攻撃者がアクセスをしてきそうな気配がします。
そこでハニーポッターらしく、ダンプファイルへのアクセス有無について調査してみました。

 

ダンプファイルへのアクセスログ

その1

[18/Jan/2014:18:18:43 +0900] “GET /a_d/install/data.sql HTTP/1.1″ 403 222 “http://www.baidu.com” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0”

実はハニーポットのログにダンプファイルへのアクセスが無かったので、このブログのアクセスログを調査しました。
ハニーポットに無いのだから、ブログにも無いかと思っていたのですが、ありました。。。

ログ1は dump.sql というファイル名ではなく、ディレクトリ名もなにやら特殊です。
そこでこのディレクトリ名を調べてみると、qibosoft という中国のソフトウェア会社の CMS に関連がありそうです。

今回はあえて日付も載せているのですが、その1のログは2014年1月のものです。
おそらくこの時期に脆弱性情報の公開がされて、アクセスがあったのだと推測していますが、具体的な CVE や詳細な脆弱性情報は得られませんでした。

その2

“HEAD /sql.sql HTTP/1.1″ 403 – “-” “Mozilla/6.0 (Windows; U; Windows NT 6.1; en; rv:2.7.1.1) Gecko/201210516 Firefox/50.4.5”
“HEAD /mysql.sql HTTP/1.1″ 403 – “-” “Mozilla/6.0 (Windows; U; Windows NT 6.1; en; rv:2.7.1.1) Gecko/201210516 Firefox/50.4.5”
“HEAD /base.sql HTTP/1.1″ 403 – “-” “Mozilla/6.0 (Windows; U; Windows NT 6.1; en; rv:2.7.1.1) Gecko/201210516 Firefox/50.4.5”
“HEAD /backup.sql HTTP/1.1″ 403 – “-” “Mozilla/6.0 (Windows; U; Windows NT 6.1; en; rv:2.7.1.1) Gecko/201210516 Firefox/50.4.5”
“HEAD /db.sql HTTP/1.1″ 403 – “-” “Mozilla/6.0 (Windows; U; Windows NT 6.1; en; rv:2.7.1.1) Gecko/201210516 Firefox/50.4.5”
“HEAD /morihi-soc.net.sql HTTP/1.1″ 404 – “-” “Mozilla/6.0 (Windows; U; Windows NT 6.1; en; rv:2.7.1.1) Gecko/201210516 Firefox/50.4.5”
“HEAD /morihi.sql HTTP/1.1″ 403 – “-” “Mozilla/6.0 (Windows; U; Windows NT 6.1; en; rv:2.7.1.1) Gecko/201210516 Firefox/50.4.5”
“HEAD /soc.sql HTTP/1.1″ 403 – “-” “Mozilla/6.0 (Windows; U; Windows NT 6.1; en; rv:2.7.1.1) Gecko/201210516 Firefox/50.4.5”
“HEAD /dump.sql HTTP/1.1″ 403 – “-” “Mozilla/6.0 (Windows; U; Windows NT 6.1; en; rv:2.7.1.1) Gecko/201210516 Firefox/50.4.5”

その2は、2017年2月のログです。
こちらはがっつりと、sql の拡張子を持つダンプファイルの存在確認をしています。
HEAD メソッドを使用してアクセスしていますが、これは Web サーバからの応答を抑制することによって通信量を減らすことが目的と考えられます。攻撃ツールの常套手段です。

またファイル名も mysql や backup、dump といったありがちな名前や、ドメイン名に関連する morihi-soc.net や morihi など、一時保存に使われそうなものを狙い撃ちしています。
同じ送信元ホストから sql ファイルだけでなく、db.zip や mysql.tar、archive.tar.gz など、圧縮ファイル形式の拡張についても同様にアクセス試行がされていました。
攻撃者はどうしてもデータベースの中身が見たいようですね。

 

攻撃を防御する方法

さて今回のようなデータベースのダンプファイルへのアクセスを防ぐ方法ですが、最善の方法は、データベースのダンプを(たとえ一時的であっても)公開ディレクトリに保存しないことです。
ファイルの移動し忘れや、入力コマンドを間違えてファイルが残ってしまうなど、人為的なミスで起こり得る事象と考えられるので、そのような作業を実施しないことが推奨されます。
ただし管理・運用方法をすぐに変えることが難しい場合や、つい癖でやってしまうかもしれないという場合もあると思います。

そんなときのために、特定の拡張子へのアクセスを禁止するようにしておくことで、影響を軽減させることが可能です。
例えば、.htaccess に下記の内容を記載することで、.sql, .zip, .tar, .gz の拡張子を持つファイルへのアクセスを禁止させることができます。

 

最後に

収集した情報は活用してこそ意味があります。

今回の記事で紹介したようなログがないかとりあえずアクセスログを「grep “\.sql access_log”」とかで検索してみてください。もしかしたら攻撃来てるかもしれませんよ。

公開情報でインシデントレスポンスや事例紹介がされる機会は増えてきているものの、多くはありません。
貴重な情報を公開する行動をたたえつつ、セキュリティレベルの向上に活用しましょう。

またこのブログにおきましても、読者のみなさまにとって何か1つでもセキュリティ対策に活用いただけたのであれば幸いです。

 


 

このブログのハニーポット観察記録シリーズをまとめた書籍を2017年1月に出版しました。
ハニーポットを運用されている方や、ネットワークアナリストを目指す方に最適です。よろしくお願いします。

サイバー攻撃の足跡を分析するハニーポット観察記録

 


 

参考情報

*1 インターネット上に公開されてしまったデータベースのダンプファイル(2017-08-08) JPCERT/CC
https://www.jpcert.or.jp/magazine/irreport-Unsecured_Databases.html

*2 How 2,000 Unsecured Databases Landed on the Internet
http://www.zeit.de/digital/datenschutz/2017-07/customer-data-how-2000-unsecured-databases-landed-online

 

Written by 森久

8月 12th, 2017 at 8:39 am