S-Owl

S(ecurity)Owl

2018年6月度のphpMyAdminの調査

先日、6月の統計を取りました。

2018年6月度のWOWHoneypotのアクセスまとめ - S-Owl

 

ちょうど graneed氏がphpMyAdminの調査を行った記事を書いていました。

phpMyAdminを狙った攻撃を深追いしてみた - こんとろーるしーこんとろーるぶい

 

こちらも6月のアクセスで一番多かったphpMyAdmin関連に関して調査をしてみました。

 

まず、これまでザックリとindex.phpまたはsetup.phpphpMyAdmin関連と見なして詳細調査から除外することが多かったですが、もう一度パスを洗い出してみました。

/phpMyAdmin/index.php
/phpmyadmin/index.php
/phpMyAdminold/index.php
/phpmyadmin-old/index.php
/phpMyAdmin.old/index.php
/phpMyadmin_bak/index.php
/phpmyadmin0/index.php
/phpmyadmin1/index.php
/phpmyadmin2/index.php
/phpmyadmin/phpmyadmin/index.php
/phpMyAdmin/phpMyAdmin/index.php
/phpMyAdmin/scripts/setup.php
/phpmyadmin/scripts/setup.php
/claroline/phpMyAdmin/index.php
/xampp/phpmyadmin/index.php
/admin/phpmyadmin/index.php
/admin/phpMyAdmin/index.php
/www/phpMyAdmin/index.php
/admin/phpmyadmin2/index.php
/web/phpMyAdmin/index.php
/tools/phpMyAdmin/index.php
/typo3/phpmyadmin/index.php
/pmamy2/index.php
/pma/index.php
/PMA2/index.php
/admin/PMA/index.php
/pmamy/index.php
/pma-old/index.php
/PMA/index.php
/phpma/index.php
/admin/pma/index.php
/pma/scripts/setup.php
/myadmin/index.php
/myadmin2/index.php
/myadmin/scripts/setup.php
/MyAdmin/scripts/setup.php
/mysqladmin/index.php
/mysqladmin/scripts/setup.php
/myAdmin/scripts/setup.php
/mysql/index.php
/mysql-admin/index.php
/admin/mysql/index.php
/admin/mysql2/index.php
/db/index.php
/pmd/index.php
/admin/index.php
/dbadmin/index.php
/phpadmin/index.php
/index.php
/setup.php
/scripts/setup.php
/install/index.php
/iem/admin/index.php
/forum/index.php
/e/search/index.php
/bbs/index.php
/admin/start/index.php
/adm/index.php

パスにphpMyAdminを含むものが青字、pmaを含むものが赤字です。
それ以外のパスでも関連しそうなものも(myadminやphpadmin等)がありますが、いったんこれらは除外して考えることとします。

件数比としては、1599件/2313件ということで、約7割程度が真のphpmyadmin関連だったようです。

 

次に、 6月分のログからパスにphpmyadminまたはpmaを含むアクセスに対してのメソッドの推移を取得しグラフにしました。

f:id:Sec-Owl:20180709122920p:plain

GETは一日平均60アクセスですが、たまに0に近いアクセスの場合もあり、逆に多い時は最大180アクセス程度です。また、HEADアクセスは2度ありました。全て調査行為と言えます。

詳細は7月込みで以下になります。 

Date GET HEAD
2018/06/05 56 0
2018/06/06 30 0
2018/06/07 60 1
2018/06/08 1 0
2018/06/09 82 0
2018/06/10 158 0
2018/06/11 61 1
2018/06/12 40 0
2018/06/13 45 0
2018/06/14 23 0
2018/06/15 61 0
2018/06/16 181 0
2018/06/17 0 0
2018/06/18 98 0
2018/06/19 52 0
2018/06/20 109 0
2018/06/21 1 0
2018/06/22 7 0
2018/06/23 58 0
2018/06/24 176 0
2018/06/25 25 0
2018/06/26 3 0
2018/06/27 56 0
2018/06/28 57 0
2018/06/29 99 0
2018/06/30 58 0
2018/07/01 13 0
2018/07/02 32 0
2018/07/03 0 0
2018/07/04 54 0
2018/07/05 0 0
2018/07/06 26 0
2018/07/07 48 0
2018/07/08 1 0

 

 graneed氏がWOWHoneypotのマッチレスポンスを活用したphpMyAdminの攻撃の深追い調査を行っていましたが、そこで捉えたようなPOSTメソッドは一切出てきていません。
やはり、深く攻撃を捉えるには、さらなる対応が必要のようです。

phpMyAdminに関しては、対比の参考にしていただくという名目のもと、当分は放置しておきたいと思います!