URL：https://www.cscloud.co.jp/news/press/201901311846/

◇攻撃状況・2018年5月が1番多い・下半期のほうが攻撃が多くなる

なぜ2018年5月にサイバー攻撃が多かったのか？
調べてもはっきりとした答えはわかりませんでした。 → 例年5月は攻撃が多い月なのか、2018年度だけ特殊だったのか調べたい。 → 年末に向けて攻撃が多くなっていく点についても上記と同じように調べたい。

◇攻撃概要・Blacklisted user agent が全体の56%で1位・Blacklisted user agent とは脆弱性スキャンツールを利用したBotによる攻撃の検知名・ZmEu、Nikto、Morfeus 等のツールが利用されていた

◎ZmEu (ズメウ) について・2012年9月頃にルーマニア人が開発したphpMyAdminの脆弱性をスキャンするツール・ZmEuという名前はルーマニアの神話の竜の名前らしいです。

---------------攻撃の例(アクセスログ)--------------- "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 318 "-" "ZmEu" "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 200 748 "-" "ZmEu" "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu"

"GET /pma/scripts/setup.php HTTP/1.1" 404 298 "-" "ZmEu"

攻撃の流れ ①上記のようなリクエストでphpMyAdminがインストールされていそうなパス配下の/scripts/setup.phpを探索します。　・/scripts/setup.phpは古いバージョンのphpMyAdminにしかありません。　・従ってレスポンス200などを返してしまうと古いバージョンの(脆弱性がある)phpMyAdminを使っていることがバレてしまいます。 ②古いバージョンのphpMyAdminを使っていることがわかったら、脆弱性を突いて攻撃コードの挿入を行います。　・setup.phpにパラメータとして攻撃コードを含んだpostを送ります。(サニタイズされずにsetup.phpが攻撃コードを受け取る) 　・setup.phpから攻撃コードを含むconfig.inc.phpが作成されます。　・config.inc.phpにアクセスすると攻撃コードがサーバ上で実行されます。

参考： https://ozuma.hatenablog.jp/entry/20130916/1379332757 https://www.slideshare.net/ockeghem/phpmyadmin-24797984 http://d.hatena.ne.jp/snufkinski/20100206/1265434884 https://scan.netsecurity.ne.jp/article/2011/08/10/27155.html

◎Nikto (ニクト) ・webサーバ＆webアプリ脆弱性診断ツール。Kaliにも入ってるそうです。

◎Morfeus (モルフェウス) php系の脆弱性のスキャンツール参考：http://kaworu.jpn.org/kaworu/2008-12-27-1.php

◇その他脆弱性　 Drupal(Drupalgeddon 2.0) →有名なのでそのうちもっと深く調べたい

以上です。

S9N2’s blog

2018年度のサイバー攻撃レポート(式会社サイバーセキュリティクラウド)

URL：https://www.cscloud.co.jp/news/press/201901311846/

"GET /pma/scripts/setup.php HTTP/1.1" 404 298 "-" "ZmEu"