Apacheのログを眺めてたら、いつもとちょっと違うログを見つけた。
以下だけど。(一部)
"GET /dana-na/auth/url_default/welcome.cgi HTTP/1.1" 404 4420 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 12_1_4; en-US) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.4.1 Safari/605.1.15"
"GET /RDWeb/ HTTP/1.1" 404 4420 "-" "Mozilla/5.0 (Knoppix; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36"
"GET /global-protect/login.esp HTTP/1.1" 404 4420 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:100.0) Gecko/20100101 Firefox/100.0"
"GET / HTTP/1.1" 200 6975 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.4.1 Safari/605.1.46"
"GET /remote/login HTTP/1.1" 404 4420 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:12.0) Gecko/20100101 Firefox/12.0"
"GET /+CSCOE+/logon.html HTTP/1.1" 404 4420 "-" "Mozilla/5.0 (Debian; Linux x86_64; rv:122.0) Gecko/20100101 Firefox/122.0"
"GET /cgi-bin/welcome HTTP/1.1" 404 4420 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 11) AppleWebKit/617.29 (KHTML, like Gecko) Version/17.7 Safari/617.29"
"GET /cgi-bin/login HTTP/1.1" 404 4420 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 11) AppleWebKit/618.31.14 (KHTML, like Gecko) Version/17.7 Safari/618.31.14"
"GET / HTTP/1.1" 200 6975 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 Edge/15.15063"
"GET /auth.html HTTP/1.1" 404 4420 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.5 Safari/605.1.63"
"GET /sslvpn_logon.shtml HTTP/1.1" 404 4420 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.1 Safari/605.1.15"
"GET /sonicui/7/login/ HTTP/1.1" 404 4420 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.1 Safari/605.7.21"これはVPNの管理コンソールを探っているような内容となっている。いつものLLMで解析してもらったら以下の結果でした。
うちのサイトはVPNサーバを立てていないので全て404エラーになってます。
攻撃者は、このようにhttpやhttpsポートを開いているサイト全てに対して、パターン化されたアクセスを実施し、反応のあったサイトを攻撃して侵入してるんでしょうね。(見る感じ攻撃は古そうだけど)
実はこのログですが、内容がそれぞれ違っていて興味深く、アクセスが同じ時間帯に来ているわけでは無くて、今後も同じアクセスがありそうだったので、さらに記録を続けて、調査したかったけど、続けて監視する自信が無かったので、このIPアドレスはブロックすることにしました。
LLMによるログ解析(以下最後まで)
以下のApacheログには、特定のURLに対するGETリクエストが記録されており、その多くはWebアプリケーションやVPNポータルに関連するリソースを探す試みである可能性があります。これらは通常、攻撃者が脆弱性を探すスキャンや不正アクセスを試みる試行として認識されます。それぞれのリクエストについて解析を行います。
- “GET /dana-na/auth/url_default/welcome.cgi HTTP/1.1” 404 4420
- 説明: Pulse Secure VPNの既知のパスで、攻撃者が未パッチの脆弱性や情報漏洩を狙ってアクセスを試みている可能性があります。
- 攻撃の成否: 失敗(404エラー)
- 関連情報: この種のスキャンは、Pulse Secure VPNの一部のバージョンに存在する脆弱性(例: CVE-2019-11510)を標的にしていることがあります。このCVEは認証されていないリモートの攻撃者が任意のファイルを読み取れる脆弱性です。CVSSスコア: 10.0(深刻)、EPSSスコア: データが必要です。
- “GET /RDWeb/ HTTP/1.1” 404 4420
- 説明: MicrosoftのリモートデスクトップWebアクセスの一般的なパスで、無防備なインスタンスを探しているスキャンとして考えられます。
- 攻撃の成否: 失敗(404エラー)
- 関連情報: 特定のCVEには直接対応しませんが、スキャンによく使用されます。
- “GET /global-protect/login.esp HTTP/1.1” 404 4420
- 説明: Palo Alto NetworkのGlobalProtect VPNポータルを狙ったスキャンで、脆弱なVPN設定を探している可能性があります。
- 攻撃の成否: 失敗(404エラー)
- 関連情報: 具体的なCVEは不明ですが、この種の攻撃はサービスの情報漏洩や認証バイパスを狙うことがあります。
- “GET /remote/login HTTP/1.1” 404 4420
- 説明: 一般的なリモート管理インターフェースのログインページを探す試みで、脆弱な設定を探している可能性があります。
- 攻撃の成否: 失敗(404エラー)
- 関連情報: 直接のCVEはありませんが、設定やバージョンによっては攻撃対象になり得ます。
- “GET /+CSCOE+/logon.html HTTP/1.1” 404 4420
- 説明: CiscoのVPNログインポータルを狙ったスキャンで、未パッチの脆弱性を狙っている可能性があります。
- 攻撃の成否: 失敗(404エラー)
- 関連情報: Cisco ASAなどのCVE(例えばCVE-2018-0296)を狙う攻撃の可能性があります。このCVEは認証なしで情報漏洩を引き起こす可能性があります。CVSSスコア: 9.8(深刻)。
- “GET /cgi-bin/welcome HTTP/1.1” 404 4420 と “GET /cgi-bin/login HTTP/1.1” 404 4420
- 説明: CGIスクリプトを狙ったスキャンで、古いまたは脆弱性のあるCGIスクリプトを探している可能性があります。
- 攻撃の成否: 失敗(404エラー)
- 関連情報: CGI脆弱性に関連するCVE(例: Shellshock – CVE-2014-6271)を利用することが考えられます。CVSSスコア: 9.8(深刻)。
- “GET /auth.html HTTP/1.1” 404 4420 と “GET /sslvpn_logon.shtml HTTP/1.1” 404 4420
- 説明: 一般的な認証またはVPNログインページのスキャン。特定の脆弱性を狙っている可能性があります。
- 攻撃の成否: 失敗(404エラー)
- 関連情報: 特定のCVEには対応しませんが、サービスの設定やバージョンによっては影響を受ける可能性があります。
- “GET /sonicui/7/login/ HTTP/1.1” 404 4420
- 説明: SonicWallの製品を狙ったスキャンで、未パッチの脆弱性を探している可能性があります。
- 攻撃の成否: 失敗(404エラー)
- 関連情報: SonicWallのCVE(例: CVE-2020-5135)をターゲットとする可能性が考えられます。CVSSスコア: 9.4(深刻)、EPSSスコア: データが必要です。
これらのアクセスの結果はすべて404エラーであるため、攻撃は成功していないと判断しますが、これらの試みが行われているということは潜在的な攻撃の可能性を示しており、システム保護のための対策を考える必要があります。