自作で公開しているWebアプリのログを見ていると不正アクセス目的のログが出るわ出るわ
で、POSTリクエストを送って来るその殆どがWordPressの管理者ファイルを狙ったphpファイルへのアクセス試行と見られます。
リクエスト先の一例
/s1.php
/plus/mytag.php
/aojiao.php
/plus/canshi.php
/12345.php
/autoloader.php
/.git.php
/webconfig.php
/wp-content/themes/thesis_182/lib/functions/launch.php
/ecmsmod.php
以前にも注意喚起の記事で書きました通り、実際のアクセスポイントはすごい数ですのでWordPressなどのCMSでadminなど推測されやすい管理者IDを利用している方は今すぐ変更しておきましょう。(以前の集計はGETリクエスト)
さて、その中にはパーセントエンコードでPOSTリクエストしてくるものもあります。
こういうの↓
%75%73%65%72%2e%70%68%70
今まで「どうせWordPress関連だろ?」と気にしていなかったのですが、今回は何となく中身をデコードして調べてみよう。という気になったので調べてみました。
<参考 デコードツール>
Web便利ツール/URLエンコード・デコードフォーム - TAG index
結果、
あ、やはりphpなのね。。。
他にも
%73%65%61%72%63%68%2e%70%68%70
php。
長ーいリクエストもありました。
"POST /%75%73%65%72/%72%65%67%69%73%74%65%72?%65%6c%65%6d%65%6e%74%5f%70%61%72%65%6e%74%73=%74%69%6d%65%7a%6f%6e%65%2f%74%69%6d%65%7a%6f%6e%65%2f%23%76%61%6c%75%65&%61%6a%61%78%5f%66%6f%72%6d=1&%5f%77%72%61%70%70%65%72%5f%66%6f%72%6d%61%74=%64%72%75%70%61%6c%5f%61%6http
調べてみると
ん?phpではない?
どうやらWordPressへのアタックに紛れてDrupalというCMSへの試行もしているようですね。僕も一度Drupalは試しに構築してみたことがあります。
<参考 Drupal>
Drupal - Open Source CMS | Drupal.org
当然ですが、自分のサイトがWordPressじゃないから大丈夫だろうと安心してはダメですね。
僕も他人ごとでは無いです。
サービス管理者の皆様、サイトのセキュリティーに充分に気をつけましょう。