何だかいつもと違う通知が自宅サーバーからあって、ログの記録を確認すると、見たことない記録が残ってた。
ログをLLMで解析したら、Monsta FTP(mftp)を標的としたスキャン(探索)で、最新ではCVE-2025-34299 CVSSは 9.3 (Critical)(1ヶ月前のもの‼️)というのが出てきた。Monsta FTPのは過去に次のような別の脆弱性が報告されています(例: CVE-2022-27468、CVE-2022-31827 など)
このCVE-2025-34299は Monsta FTP のバージョン 2.11 以下 に存在する「認証なしでの任意ファイルアップロード(RCE)」の脆弱性があるとのことで、リバースシェルを送りつけられバックドアを作られると、かなりやばい。
まぁ、うちのサーバにはMonsta FTPが入っていないので、問題無いんだけど、こう言ったのがたまに来るので気を抜くことができない😅
今回はログ監視での通知だけど、たぶん🤔、実際の攻撃もWAFで防御するとは思うけど…
参考までに以下が該当するIPアドレスからのログを抽出したものです。
ここに表示はしてませんが、そのIPアドレスは遮断しました。どーせ、torとかでアクセスしてるでしょうけどね😏
"GET / HTTP/1.1" 400 4118 "-" "-"
"GET / HTTP/1.1" 400 4118 "-" "-"
"GET / HTTP/1.1" 400 4118 "-" "-"
"GET /mftp/application/frontend/css/monsta.css HTTP/1.1" 404 4663 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.5615.137 Safari/537.36"
"GET /application/frontend/css/monsta.css HTTP/1.1" 404 4663 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.5615.137 Safari/537.36"
"GET / HTTP/1.1" 400 4118 "-" "-"
"GET /mftp/application/frontend/css/monsta.css HTTP/1.1" 404 4663 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.5615.137 Safari/537.36"
"GET /application/frontend/css/monsta.css HTTP/1.1" 404 4663 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.5615.137 Safari/537.36"
"GET / HTTP/1.1" 400 4118 "-" "-"
"GET / HTTP/1.1" 400 4118 "-" "-"
"GET /mftp/application/frontend/css/monsta.css HTTP/1.1" 404 4663 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.5615.137 Safari/537.36"
"GET /application/frontend/css/monsta.css HTTP/1.1" 404 4663 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.5615.137 Safari/537.36"