오늘의 웹서버 공격 로그, XML-RPC, Open Proxy

홈페이지 취약점 분석 이야기	파일 지도 사진 깨알

>> 목록보이기
#공격로그 #스캔로그 #xmlrpc.php #공개 프록시 #/manager/html #Apache Tomcat Default Manager

오늘의 웹서버 공격로그 (2016년 12월 7,8일)

WordPress의 xmlrpc.php 탐색, 프록시 기능 탐색, Apache Tomcat Default Manager 탐색 등의 로그가 발견되었다.

xmlrpc.php 스캔

51.15.55.204 - - [07/Dec/2016:23:55:25 +0900] "GET /xmlrpc.php HTTP/1.1" 404 416 "-" "PycURL/7.19.5 libcurl/7.38.0 GnuTLS/3.3.8 zlib/1.2.8 libidn/1.29 libssh2/1.4.3 librtmp/2.3"

접속자 IP주소: 51.15.55.204 (프랑스 또는 네델란드)
서버 응답: 404
워드프레스의 XML-RPC(xmlrpc.php) 기능에는 다양한 취약점이 존재했다. 이 기능은 HTTP 규약을 이용하여 XML 데이타 송수신을 지원한다. 취약한 버전의 경우에는 다른 서버를 공격하는 분산서비스거부공격(DDoS, Distributed Denial of Service)에 악용된다. WordPress로 웹서비스를 운영한다면 "disable xmlrpc", "block xmlrpc" 등의 워드프레스 플러그인을 설치하면 공격을 차단할 수 있다고 한다.

공개 프록시(Open Proxy) 기능 스캔

180.97.106.161 - - [08/Dec/2016:02:27:47 +0900] "HEAD http://180.163.113.82/check_proxy HTTP/1.1" 404 124 "-" "-"
180.97.106.161 - - [08/Dec/2016:02:53:29 +0900] "HEAD http://180.163.113.82/check_proxy HTTP/1.1" 404 124 "-" "-"

접속자 IP주소: 180.97.106.161 (중국 장쑤성)
서버 응답: 404
IP주소 180.163.113.82는 중국 샹하이에 위치한다. 위의 로그는 웹핵누리집에 프록시 기능이 열려있는 지를 탐지하는 것이다.

root@kali:~# curl -v http://180.163.113.82/check_proxy
*   Trying 180.163.113.82...
* Connected to 180.163.113.82 (180.163.113.82) port 80 (#0)
> GET /check_proxy HTTP/1.1
> Host: 180.163.113.82
> User-Agent: curl/7.47.0
> Accept: */*
> 
< HTTP/1.1 200 OK
< Server: ADSSERVER/44857
< Date: Thu, 08 Dec 2016 01:34:12 GMT
< Content-Type: text/javascript;charset=UTF-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< Proxy-Check: eyJwcm94eV90eXBlIjoiZWxpdGUiLCJyZW1vdGVfYWRkciI6IjE1MC4xODMuMjI2LjE1OSJ9
< Set-Cookie: __ads_session=SrTHQHUS1AhffxAAnwA=; domain=.180.163.113.82; path=/
< X-Powered-By-ADS: chn-shads-3-17
< 
{"proxy_type":"elite","remote_addr":"122.32.19.138"}
root@kali:~#

만약 웹서버가 공개 프록시(Open Proxy) 기능을 제공하는 경우라며, 웹서버는 위의 주황색 부분의 문자열(HEAD http://180.163.113.82/check_proxy)을 공격자에게 전달한다. 공격자는 문자열을 분석하여 공개 프록시에 접속할 수 있다는 것을 확인한다. 공격자는 이렇게 공개 프록시를 운영중인 서버들을 모아서 "IP주소 세탁", "DDoS 공격" 등에 악용할 수 있다. 공개 프록시를 운영하게 되면, 악의적인 공격자들에게, 별다른 공격이 필요없는 효율적인 해킹 방법을 제공할 수 있으므로 주의가 필요하다.

아파치 톰캣 관리자 페이지 스캔

171.208.78.140 - - [08/Dec/2016:05:59:01 +0900] "GET /manager/html HTTP/1.1" 404 420 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)"

접속자 IP주소: 171.208.78.140 (중국 쓰촨성)
서버 응답: 404
거의 매일 발견되는 Apache Tomcat 기본관리자 페이지 스캔이다.

[처음 작성한 날: 2016.12.08] [마지막으로 고친 날: 2016.12.08]

< 이전 글 : 오늘의 웹서버 공격 로그, Axis2, 공개프록시 (2016.12.10)

> 다음 글 : nikto와 owasp-zap 연동 (2016.12.06)

이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문