ウェブシェル攻撃者のIP追跡ガイド

ウェブシェル侵害事故発生時、ウェブシェル攻撃者のIPを追跡する際に参考にできるガイドです。

1. コンソールで提供される攻撃者と疑われるIPリスト

検知されたウェブシェル行為と一緒に収集された疑わしいIPリストは、ウェブシェル行為が発生した時点で様々な条件をもとに導き出したリストです。
ウェブシェル行為が発生した時点で顧客のVMとの通信の有無など様々な条件を比較し、国情報と一緒にIPを提供します。

security-17-193

疑わしいIPリストの中に攻撃者のIPが存在する可能性が比較的高いため、攻撃者のIPを追跡する際に参考にできます。
※ 状況によって疑わしいIPを収集できない場合があります。 収集の有無と関係なしに、以下の内容は参考にできます。

2. Access Logを通じたウェブシェル攻撃者のIP追跡

ウェブシェル攻撃者のIPを追跡する方法の一つで、WASのAccess Logでウェブシェル行為を見つけ出して追跡できます。
Access Logでウェブシェルを実行するためにアクセスしたIPを見つけ出すために、以下のような条件を参考にできます。

  • ウェブシェルが検知された時点でアクセスした履歴は、攻撃者である可能性があります。
  • アクセスしたファイルの拡張子がWASで実行できる拡張子、あるいは意図しなかったファイルである場合、ウェブシェルの可能性があります。
  • アップロードできるパスに存在するファイルにアクセスした履歴があれば、ウェブシェルを実行するためのアクセスである可能性があります。
  • ウェブシェルが実行したコマンドがURLクエリストリング(Query String)に残っている場合、ウェブシェルを実行するためのアクセスである可能性があります。 例:webshell.php?cmd=cat%20/etc/hosts

※ ウェブシェルファイルを見つけ出す方法と同様で、ウェブシェルファイルを見つけてから攻撃者のIPを追跡した方が簡単かもしれません。
ウェブシェルファイルを見つけ出した場合、Access Logで当該ファイルにアクセスしたIPを調べると、攻撃者のIPの可能性が高いです。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...