アクセスログを眺める
ネットアシスト技術部のMTOKです。
9月に入り季節の変わり目となりましたが、
東京はまだまだ厳しい暑さが続いております。
外に出て活動するのは億劫なので
1か月間放置していたWebサーバのアクセスログでも眺めて見ようかと思います。
POSTアクセスの記録
/
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
/mifs/.;/services/LogService
/sdk
/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/
/scripts/WPnBr.dll
/uncensored
/resolve
/query
/doh/secure-filter
/doh/family-filter
/doh
/dns-query
/ads
/owa/auth.owa
/mgmt/tm/util/bash
/_ignition/execute-solution
GETアクセス(100件ほど抜粋)
/
/favicon.ico
/.env
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f
/owa/auth/logon.aspx
/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application
/owa/auth/x.js
/robots.txt
/?XDEBUG_SESSION_START=phpstorm
/actuator/health
/sitemap.xml
/system_api.php
/streaming/clients_live.php
/stream/live.php
/stalker_portal/c/version.js
/flu/403.html
/_profiler/empty/search/results
/.well-known/security.txt
/.aws/credentials
/HNAP1
/version
/login
/stalker_portal/server/tools/auth_simple.php
/c/
/ReportServer
/template/21/statics/js/push123.js
/server-status
/owa//ext-js/app/common/zyFunction.js
/evox/about
/dqgqoeCXckuwPtxov
/autodiscover/autodiscover.json?@test.com/owa/?&Email=autodiscover/autodiscover.json%3F@test.com
/autodiscover/autodiscover.json?@test.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@test.com
/__Additional
/Telerik.Web.UI.WebResource.axd?type=rau
/.git/config
/.git/HEAD
/vendor/.env
/portal/info.jsp
/pools
/login/
/login.action
/docs/cplugError.html/
/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts
/admin/.env
/ab2h
/CSS/Miniweb.css
/?=PHPE9568F36-D428-11d2-A769-00AA001ACF42
/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
/サーバIP/.env
/a2billing/customer/templates/default/footer.tpl
/adblock?dns=DUIBAAABAAAAAAAABWJhaWR1A2NvbQAAAQAB
/user/findpass.html
/uncensored?dns=DUIBAAABAAAAAAAABWJhaWR1A2NvbQAAAQAB
/solr/
/showLogin.cc
/resolve?dns=DUIBAAABAAAAAAAABWJhaWR1A2NvbQAAAQAB
/remote/login
/query?dns=DUIBAAABAAAAAAAABWJhaWR1A2NvbQAAAQAB
/pools/default/buckets
/phpmyadmin/index.php
/main.jsa
/inicio.shtml
/inicio.asp
/doh?dns=DUIBAAABAAAAAAAABWJhaWR1A2NvbQAAAQAB
/doh/secure-filter?dns=DUIBAAABAAAAAAAABWJhaWR1A2NvbQAAAQAB
/doh/family-filter?dns=DUIBAAABAAAAAAAABWJhaWR1A2NvbQAAAQAB
/dns-query?dns=DUIBAAABAAAAAAAABWJhaWR1A2NvbQAAAQAB
/console/
/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
/ads?dns=DUIBAAABAAAAAAAABWJhaWR1A2NvbQAAAQAB
/admin/config.php
/admin/
/ab2g
/Portal/Portal.mwsl
/?dns=DUIBAAABAAAAAAAABWJhaWR1A2NvbQAAAQAB
///remote/fgt_lang?lang=/../../../..//////////dev/
/.DS_Store
/wp-login.php
/vRNF
/users/sign_in
/update/v32/default
/top/comic_click.html
/tomcatwar.jsp
/telescope/requests
/start.pl
/start.jsa
/start.jhtml
/start.cfm
/sssss
/signin/options
/script
/s/lkx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties
/remote/fgt_lang?lang=/../../../..//////////dev/
感想
https://グローバルIP でアクセスした際に「dummy」と表示される簡素なページだからか、
CMSなどの脆弱性を狙ったしつこい訪問者は来ていませんでした。
手あたり次第、機械的にアクセスしていそうな印象です。
AWSサービスへ接続するための設定はWebサーバ内に存在するので
/.aws/credentials へのアクセス記録を見たときはヒヤッとしました。
サーバ初心者だと、うっかり公開領域に機密情報の書かれたファイルを置いてしまう、
なんてこともありそうな気がします。
AWSのログイン情報が外部洩れれば、身に覚えのない高額なインスタンスが勝手に立てられ
仮想通貨のマイニングに利用されたりするらしいですね、恐ろしい。
アクセス制限と公開領域の把握、大事です。
涼しくなった気がするので以上で失礼します。