![どうしてもいじりたかった人
特定IPからのアクセスだけで619行あった。
そのアクセス全部myadminとかsqlとか
64.26.137.34 - - [20/Jul/2015:23:41:28 +0900] "HEAD http://x.x.x.x:80/1phpmyadmin/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:28 +0900] "HEAD http://x.x.x.x:80/2phpmyadmin/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:29 +0900] "HEAD http://x.x.x.x:80/3phpmyadmin/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:29 +0900] "HEAD http://x.x.x.x:80/4phpmyadmin/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:29 +0900] "HEAD http://x.x.x.x:80/MyAdmin/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA2011/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA2012/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA2013/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA2014/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA2015/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:31 +0900] "HEAD http://x.x.x.x:80/admin/ HTTP/1.1" 404
64.26.137.34 - - [20/Jul/2015:23:41:31 +0900] "HEAD http://x.x.x.x:80/admin/db/ HTTP/1.1" 404](https://image.slidesharecdn.com/honeypot-150819135040-lva1-app6892/85/-10-320.jpg)
サーバ攻撃されてみた
- 3. 普段の業務で ? アクセス数多いので、量を絞ってる ? アクセス数だけ見たいなら管理ツール ? アパッチログも出てるけど、ちゃんと目的がな いと見ちゃダメという決まりがある ? 生ログ見れないわけではないが、grepしんどい
- 4. あんまり见てない…
- 6. 自分で立ててみた
- 7. 環境 ? さくらのVPS(プランは忘れた) ? CentOS 6.6 ? nginxでサーバ立てた ? PHPやMySQLは入れてない ? 静的ファイル置いただけ ? iptablesは自力で書いてなんとかする ? 対策漏れてるかもしれないが気にしない 期間 ? 2015年7月14日から7月28日まで 結果 ? 最終的なアクセスログの行数は 1856 ? 特に制限してないので、行数 アクセス数
- 8. 実际にログを见てみる
- 9. やっぱり攻撃しに来てた アクセスログを適当な文字列でgrepしてみた様子 phpmyadmin/sqlとかのディレクトリ名でアクセスしてくる のもあったため、いくらか重複している とはいえ明らかにphpmyadminをいじろうとしてる $ cat access.log* | grep phpmy | wc -l 26 $ cat access.log* | grep pma | wc -l 24 $ cat access.log* | grep setup | wc -l 48 $ cat access.log* | grep sql | wc -l 34
- 10. どうしてもいじりたかった人 特定IPからのアクセスだけで619行あった。 そのアクセス全部myadminとかsqlとか 64.26.137.34 - - [20/Jul/2015:23:41:28 +0900] "HEAD http://x.x.x.x:80/1phpmyadmin/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:28 +0900] "HEAD http://x.x.x.x:80/2phpmyadmin/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:29 +0900] "HEAD http://x.x.x.x:80/3phpmyadmin/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:29 +0900] "HEAD http://x.x.x.x:80/4phpmyadmin/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:29 +0900] "HEAD http://x.x.x.x:80/MyAdmin/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA2011/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA2012/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA2013/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA2014/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:30 +0900] "HEAD http://x.x.x.x:80/PMA2015/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:31 +0900] "HEAD http://x.x.x.x:80/admin/ HTTP/1.1" 404 64.26.137.34 - - [20/Jul/2015:23:41:31 +0900] "HEAD http://x.x.x.x:80/admin/db/ HTTP/1.1" 404
- 12. まとめ ? ノリでサーバ立てたら、いろんな人から攻撃された ? アクセスログをちゃんと見る機会が意外とないので、 いい勉強にはなった ? 攻撃されてるのに一周回って「ようこそ!」という 気持ちになってくる(ただし業務では嫌 ? 自分のセキュリティに関する知識と意識が浅すぎる ので、身を守る術をもっと身につけていく(自戒