管理サイトに来た不正アクセスのIPとそのカウント

管理サイトに来た不正アクセスのIPとそのカウント

管理するサイトに来た不正アクセスIPとそのカウント

2020/10/14からリクエストの頻度が急に増加したので集計結果をちょこちょこ見てました。

その結果「面白いなぁ」と思ったので記載してみます。

大量リクエストのIPとアクセス回数

blackip count permit created_at updated_at
5.9.71.213 12600 0 2020-10-14 21:40:08 2020-10-15 01:15:21
148.251.120.201 12600 0 2020-10-14 21:46:04 2020-10-15 22:07:26
144.76.60.198 12600 0 2020-10-15 06:11:41 2020-10-16 09:27:26
144.76.176.171 12600 0 2020-10-15 20:28:35 2020-10-16 01:13:14
78.46.149.254 10605 0 2020-10-15 03:15:04 2020-10-15 08:26:29
192.99.14.117 10143 0 2020-10-15 00:12:38 2020-10-16 07:04:53
144.76.71.176 8358 0 2020-10-14 22:48:56 2020-10-16 06:12:52
178.151.245.174 8274 0 2020-10-15 09:13:51 2020-10-16 00:12:28
144.76.29.148 8022 0 2020-10-15 09:38:52 2020-10-16 00:38:50
78.46.61.245 6301 0 2020-10-13 23:07:14 2020-10-15 15:39:17
78.46.63.108 6300 0 2020-10-14 17:01:00 2020-10-14 19:09:06
5.189.178.48 6300 0 2020-10-15 03:14:01 2020-10-15 04:22:30
37.57.218.243 6300 0 2020-10-15 06:13:56 2020-10-15 06:54:14
204.12.197.234 6300 0 2020-10-15 06:20:06 2020-10-15 06:55:27
204.12.208.154 6300 0 2020-10-15 09:13:03 2020-10-15 10:08:44
213.239.216.194 6300 0 2020-10-15 09:53:55 2020-10-15 10:54:42
173.208.198.162 6300 0 2020-10-15 12:16:54 2020-10-15 14:34:05
144.76.38.10 6300 0 2020-10-15 13:11:10 2020-10-15 13:45:15
5.9.107.211 6300 0 2020-10-15 15:22:53 2020-10-15 15:53:49
173.249.63.71 6300 0 2020-10-15 15:43:47 2020-10-15 19:55:44
148.251.195.14 6300 0 2020-10-15 15:51:08 2020-10-15 17:01:58
192.151.152.98 6300 0 2020-10-15 17:30:55 2020-10-15 18:20:32
204.12.226.26 6300 0 2020-10-15 20:23:16 2020-10-15 20:50:36
144.76.3.79 6300 0 2020-10-15 21:59:42 2020-10-15 22:37:16
69.30.205.218 6300 0 2020-10-16 02:21:07 2020-10-16 04:11:46
144.91.83.189 6300 0 2020-10-16 02:32:14 2020-10-16 04:44:52
5.9.112.210 6300 0 2020-10-16 07:37:14 2020-10-16 08:07:32
5.9.155.37 6153 0 2020-10-14 22:56:38 2020-10-14 23:42:10
95.91.76.109 6112 0 2020-10-14 13:18:42 2020-10-16 05:28:34
158.69.243.140 5734 0 2020-10-13 19:06:05 2020-10-14 21:29:24
192.99.7.128 5355 0 2020-10-15 21:02:19 2020-10-16 05:57:22
144.76.91.79 4747 0 2020-10-14 16:15:33 2020-10-14 17:52:26
207.180.201.192 4725 0 2020-10-15 00:12:56 2020-10-15 02:35:17
178.63.34.189 4641 0 2020-10-15 06:21:34 2020-10-15 07:39:49
144.76.4.41 4599 0 2020-10-15 14:38:52 2020-10-15 15:37:44
192.99.36.166 3864 0 2020-10-15 00:11:54 2020-10-15 04:16:40
208.110.93.78 3129 0 2020-10-15 11:58:38 2020-10-15 12:47:07
192.99.5.228 2184 0 2020-10-15 20:31:23 2020-10-15 22:08:54
173.208.200.154 1953 0 2020-10-16 07:47:48 2020-10-16 08:15:56
69.30.226.234 1722 0 2020-10-15 17:27:34 2020-10-15 17:39:45
5.9.97.200 1008 0 2020-10-15 13:59:52 2020-10-15 14:07:35

1000回以上のアクセスのみ抽出しました。
2列目 [ count ] はアクセス回数。3列目 [ permit ] はページ表示の許可で値=0はGoogleTOPへ自動転送します。
4列目 [ created_at ] は最初のアクセス日時、5列目 [ updated_at ] は最終アクセス日時です。

おもしろい症状 1:同じカウント回数がいくつか見受けられる

12600と6300ですね。ちょうど倍。
6300回を約1時間で走破して別IPに乗り換えて同じことを繰返すと言うのがよくわかるデータだと思います。

つまりは同一犯。

21のIPで同じことやってくるのだからもう嫌になりますね。

なんでこんなことをしているのか

メリットが無ければしないわけですから「何かを狙っている」のだろうことは分かります。
でも、いくらアクセスされても404エラーになるだけなんですよね。

で、色々調べてみました。

攻撃の名称と痕跡

  1. SQL文を組み込まれた要求(問合せ)が来ている = SQLインジェクション攻撃
  2. OSのコマンドを組み込んだアクセスがある = OSコマンド・インジェクション攻撃
  3. 作っていないページへのアクセスがある = ディレクトリ・トラバーサル攻撃
  4. 掲示板や問合せフォームにスクリプトが記載されている = クロスサイト・スクリプティング攻撃
  5. 16進コードや特殊文字のパス(~とか)を利用したアクセスがある = IDS回避を目的とした攻撃
  6. 一定時間内に同一ファイルに対しての大量アクセス = サーバー負荷を狙った攻撃
  7. 大量のログイン失敗履歴 = 総当たり(辞書アタック)による不正アクセス攻撃

不正リクエストのあったサイトの場合はディレクトリ・トラバーサルと認識していいのかな。
[ w/026 ]なんて存在しないディレクトリに対してサイトマップ取ろうとしてるし。

そもそも地人用のサイトマップsitmap.htmlで、クローラー用のxmlでない事も不思議なんだけどね。

それぞれの攻撃の目的

もちろん最終的には何某かのデータの取得もしくは破壊を目的としいているのでしょう。

SQLインジェクション

コードの埋め込み(injection)によって重要情報を盗んだり書換を行ったりします。
データベースと連携したウェブアプリではSQLで情報の取り出しを行っています。
SQLインジェクションはこのSQLの命令文に悪意を持ち細工したSQL文を埋め込みデータベースを不正に操作しようとするもの。

OSコマンド・インジェクション

例えば、開いているポートを調査するコマンドを実行されそのポートに対してアクセスする方法を見つけられてしまった場合『踏み台』として利用される事でしょう。
OSコマンドインジェクションはこういったウェブサーバーを不正利用するための調査がと乗っ取りを目的に行われます。

ディレクトリ・トラバーサル

相対パスを利用して管理者が意図していないウェブサーバー上のディレクトリやファイルにアクセスしたりアプリを実行します。

例えば、少人数の中でURLを固定して情報のやり取りをしていたとしてもこのURLは外部に公開されているわけです。こういった「公開の意図はない情報」にアクセスして抜き取る手段として利用されます。

私の組むスクレイピングなどはココに属するんだろうなぁ。ECモールがAPIとかで情報出してくれれば不必要なんだけど。スクレイピングは見る立場が変われば『攻撃』ですよね。確かに。

クロスサイト・スクリプティング

通常、掲示板や問合せフォームはスクリプトを記載できない様に読取時に『文字列』として取り込みます。
サイト作成時にこの一手間を忘れてしまった場合、問合せやサイト内検索などのテキストフォームでスクリプトの実行が可能になってしまいます。
scriptを差し込むことができれば多種多様な用途に使えます。例えばSQLの実行はもちろん、閲覧者の個人情報を端末から抜き取って指定サーバーに送るとか、色々出来てしまいます。

IDS回避を目的とした攻撃

私はこれ知りませんでした。

16進コード、親パス等の特殊文字を使用して偽装した攻撃用文字列で攻撃が行われることによりアプリケーションの妥当性チェック機構を迂回し、SQLインジェクション、クロスサイトスクリプティング等の攻撃を行うことを狙ったもの

上の動作はバレバレだから「偽装してくるよ」って事なんですね。
そうすると、管理サイトに来たリクエストもこの手のモノなのかもしれません。
/0001/0000/0000/0001/0001/0003/0004/0001/0000/0002/0001/0000/0004/0002/0001/0000/
とか数字の羅列箇所あったし。

サーバー負荷を狙った攻撃

サーバーは負荷がかかると動作が遅くなります。
場合によってはサーバーダウンに至ったりとか、迷惑千万でこれを狙った嫌がらせが主たる目的です。
システム屋さんはサーバー負荷テストで同じような事わざとする時あるので馴染みは深いですね。
場合によってはそれが残っていて間違えて実行してしまったなんてこと…きっとないはずです。

総当たりによる不正アクセス攻撃

以前の記事で書いた様に、数字とアルファベットの組合せを作ってとにかくアクセスしてみると言う攻撃。
当然ログイン出来る環境(IDとパスワード)を知る事が目的です。
今はユーザービリティを考えてログインエラーで「メールアドレスが不正です」とか「パスワードが不正です」とか教えてくれます。でも、攻撃者にとってはコレすらも成功な情報。
だって『どちらが合っていたか』を教えてくれてるようなもんですからね。
そうやって1個づつ詰めて正答を導き出すプロセスが大量のログインエラーになって現れます。

まとめ

何回Googleにリダイレクトされようとリクエストを送り続けるのですから、管理サイトにアクセスしてくる輩は特に何も確認していないのでしょう。

しかし、こんな単調な攻撃で目的を達成できる事があるのだろうか…。
それとも何か見落としがある??
謎過ぎて「もしかしてこれ攻撃じゃない?」なんて疑問も生まれる始末。

う~ん、謎。