DreamerDreamのブログ

夢想家の夢です。〜揚げたてのモヤっとしたものをラフレシアと共に〜

狙われてるのはWordPressだけじゃない!CMSでの管理者パスにご用心!

自作で公開しているWebアプリのログを見ていると不正アクセス目的のログが出るわ出るわ

で、POSTリクエストを送って来るその殆どがWordPressの管理者ファイルを狙ったphpファイルへのアクセス試行と見られます。

f:id:DreamerDream:20190617093734p:plain

 

リクエスト先の一例

/api.php

/s1.php 

/plus/mytag.php

/aojiao.php

/plus/canshi.php

/12345.php

/autoloader.php

/.git.php

/webconfig.php

/wp-content/themes/thesis_182/lib/functions/launch.php

/ecmsmod.php

 

以前にも注意喚起の記事で書きました通り、実際のアクセスポイントはすごい数ですのでWordPressなどのCMSでadminなど推測されやすい管理者IDを利用している方は今すぐ変更しておきましょう。(以前の集計はGETリクエスト)

dreamerdream.hateblo.jp

 

 

さて、その中にはパーセントエンコードでPOSTリクエストしてくるものもあります。

こういうの↓

%75%73%65%72%2e%70%68%70

今まで「どうせWordPress関連だろ?」と気にしていなかったのですが、今回は何となく中身をデコードして調べてみよう。という気になったので調べてみました。

 

<参考 デコードツール>

 Web便利ツール/URLエンコード・デコードフォーム - TAG index

 

結果、

f:id:DreamerDream:20190617090049p:plain

 

あ、やはりphpなのね。。。

 

 他にも

%73%65%61%72%63%68%2e%70%68%70

f:id:DreamerDream:20190617090240p:plain

 

php

 

長ーいリクエストもありました。

 

"POST /%75%73%65%72/%72%65%67%69%73%74%65%72?%65%6c%65%6d%65%6e%74%5f%70%61%72%65%6e%74%73=%74%69%6d%65%7a%6f%6e%65%2f%74%69%6d%65%7a%6f%6e%65%2f%23%76%61%6c%75%65&%61%6a%61%78%5f%66%6f%72%6d=1&%5f%77%72%61%70%70%65%72%5f%66%6f%72%6d%61%74=%64%72%75%70%61%6c%5f%61%6http

 

調べてみると

f:id:DreamerDream:20190617090141p:plain

 


ん?phpではない?

 

Drupalajaxに対してのリクエスト?

どうやらWordPressへのアタックに紛れてDrupalというCMSへの試行もしているようですね。僕も一度Drupalは試しに構築してみたことがあります。

<参考 Drupal

Drupal - Open Source CMS | Drupal.org

 

当然ですが、自分のサイトがWordPressじゃないから大丈夫だろうと安心してはダメですね。

 

僕も他人ごとでは無いです。

サービス管理者の皆様、サイトのセキュリティーに充分に気をつけましょう。

https://cdn.profile-image.st-hatena.com/users/DreamerDream/profile.png私、(PONさん (@o_n_pon) | Twitter)を応援してくださるお優しいかたは15円から投げ銭可能ですので↓よりカンパをお願いしますm(_ _)m

kampa.me