tanakaのセキュリティブロク

セキュリティブログにしたい。

通信解析 / 11月17日

昨日から今日昼までにあった自宅グローバル宛の通信について、まとめてみました。
何かのご参考になれば幸いです。

■不明なTCP通信 4件
宛先ポート:9339(送信元はUS)>通信中身はただの不明な文字列のみ

■不明なUDP通信 41件
宛先ポート:16403
宛先ポート:161
宛先ポート:443
宛先ポート:54155 
>すべて通信中身はただの不明な文字列のみ。(送信元はUS、China)

脆弱性検知

・SIPVicious を探していると思われる通信。27件
https://ja.osdn.net/projects/freshmeat_sipvicious/
SIPアプリケーションで、宛先ポート:5060、5090、11010、20001,6550、4010、65476など宛の通信。

・Netis / Netcoreの脆弱性をつく攻撃。35件
https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/misc/netcore_udp_53413_backdoor.rb

・RPC Portmapper DUMPリクエスト。3件


■Web的な話。
・HTTPのHostヘッダがドメインじゃなくIPアドレスな通信 561件
*実際のグローバルIPもあれば関係ないグローバルIPが入っているケースも。
・wp-cron.phpへのアクセス。40件
Wordpressのcron機能で利用するページ。
http://www.webdesignleaves.com/wp/wordpress/432/

・adminページへのダイレクトアクセス。5件
・CONNECTメソッドでアクセス。1件。
・発行したセッションCookieを無視してアクセスしてきた。1件。
セッションハイジャックを狙ってるのかな。。
phpMyAdmin関連。40件
phpMyAdmin,phpMyAdmion,phpMyAdmin++,phpMyAdmin__,phpMyAdmin-oldなど
phpMyAdminだと設定でブロックされてるから、別パスでアクセスしてる?
・POST使ってphpページにいろんなデータを投げ込む。320件
*val=die(@md5(Ch3ck1ng)),admin=die(@md5(Ch3ck1ng))などなどのログが多数。
https://curiousprog.com/2018/10/03/a-wordpress-die-md5-exploit/

・ /m.php?pbid=open が2件。
こちらにも同じ形跡が。何を狙ってるんだろう。。

https://sec-owl.hatenablog.com/entry/2018/08/16/004324
・ /cmd.phpが6件。
・ /shell.phpが6件。

*これはコマンドインジェクション狙いかな。
・HTTPメソッドがPROPFIND

http://d.hatena.ne.jp/marmotte/20100106

・ /lala.phpが2件。
wafなどがお気に召さないご様子。malicousなのか?