web-dev-qa-db-ja.com

ログインルートにヒットしたシステムへの攻撃の後、どうすればよいですか?

今朝、私はnginxログをチェックしました。

46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/pma2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/pma2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmanager/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
139.x.x.135 - - [17/Jul/2017:06:33:53 +0000]  "GET / HTTP/1.1"302 219 "-" "Mozilla/5.0 (Windows NT 10.0; W0W64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" "-"
91.x.x.3 - - [17/Jul/2017:06:49:13 +0000] "GET / HTTP/1.0" 301 185 "-" "-" "-"
38.x.x.164 - - [17/Jul/2017:06:54:55 +0000] "GET / HTTP/1.1" 301 185 "-" "Mozilla/5.0 zgrab/0.x" "-"
91.x.x.3 - - [17/Jul/2017:07:48:04 +0000] "GET / HTTP/1.0" 301 185 "-" "-" "-"
139.x.x.204 - - [17/Jul/2017:08:19:50 +0000] "GET / HTTP/1.1" 302 219 "-" "Mozilla/5.0 (Windows NT 10.0; W0W64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36" "-"
139.x.x.204 - - [17/Jul/2017:08:19:50 +0000] "GET /login HTTP/1.1" 301 185 "-" "Go-http-client/1.1" "-"
139.x.x.204 - - [17/Jul/2017:08:19:51 +0000] "GET /login HTTP/1.1" 200 2222 "http://x.x.71.1/login" "Go-http-client/1.1" "-"

スクリーンショット

これらのパスがないため、攻撃を疑った。

しかし、最後のものは/login。今、私は偏執的で何ができるのだろうと思っています。

  1. あなたが経験した攻撃後の動きはありますか?
  2. 加害者が正常にログインしたかどうかを確認するにはどうすればよいですか?
  3. ジョージーとは誰ですか?
nginxbot
12
Andrew Graham-Yooll

ログがあるので、ログインフォームの使用方法を探すことをお勧めします。ログインを試みましたか?

ほとんどの場合、これは興味深いサイトを探して後で使用するために保存する単なるスキャンです。この動作は非常に一般的であり、インターネットに面したWebサービスのほとんどすべてのhttpログで一般的な場所です。

  1. まず、ウェブログを見て、実際にログインフォームを使用しようとしたかどうかを確認する必要があります。もしそうなら、そのログインフォームのウェブアプリケーションでいくつかのロギングが行われていると思いますか?
  2. 投稿したログにはGETリクエストしかありません。 POSTリクエストを探します。
  3. Jorgeeはユーザーエージェントフィールドの一部であり、Webクライアントで簡単にカスタマイズできます。
23
Peter

これは open HTTP proxy スキャンのように見えます。 HEADまたはGETリクエストの後には通常http://が続きませんが、ローカルパスのみが続きます。

サーバーがオープンHTTPプロキシとして機能している場合、攻撃者はその背後に隠れようとしているので、閉じる必要があります。これにより、サーバーがすぐにブラックリストに登録されます。

サーバーがオープンプロキシとして機能していないことを確認してから、無視してください。公開サーバーは常にスキャンされます。

  1. サーバーがオープンプロキシとして機能しているかどうかをテストします。 http-open-proxy from nmap を使用できます。

    Sudo nmap -sS -sV -p 8080 --script http-open-proxy.nse X.X.X.X

  2. 最も簡単な方法は、telnetでテストすることです。

    telnet X.X.X.X 80

    接続が確立されるまで数秒待ってから、HTTPリクエストを入力します。

    GET /login HTTP/1.1
Host:

    リターンを2回押して、結果を確認します

    現在、ほとんどの場合、誰でもあなたのログインページを取得できます。それは彼らがいるという意味ではありません:彼らは正しいユーザー名/パスワードパラメータでPOSTリクエストを行う必要があるからです。その要求、またはログインウォールの背後にあるリソースに対する成功した要求を探します。

  3. Jorgeeは脆弱性スキャナーです。 CheckPointの通知を参照 できます。基本的に、脆弱性がないかインターネット全体をスキャンします。サーバーもスキャンされますが、脆弱でない限り、心配する必要はありません。

9
Calimo

私が見ているのは2つの異なるユーザーで、1つ(139.x.x.xネットワーク)はおそらくエクスプロイトスキャナーを実行するスクリプトキディであり、もう1つ(46.x.x.xネットワーク)はおそらく正当なユーザーです。

それで、最後の行でサーバーのアドレス(45.x.x.xネットワーク)を匿名化するのを忘れていました。

結論:他の侵入の兆候がなく、パニックする理由はありません。

4
Damon