Q&A
いずれもphpMyAdminの置き先を探るようなアクセスですね。それ以外にはどのようなものがありますか?
前提・実現したいこと
nginxのerror.logに出力される、以下のような内容のログを出力されてしまう。
そもそもこのようなアクセスは、受け付けたくない
2018/07/03 14:51:55 [error] 24985#0: *109 FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream, client: client IP, server: , request: "GET /phpmyadmin1/index.php HTTP/1.1", upstream: "fastcgi://unix:/run/php-fpm/www.sock:", host: "Host IP"
2018/07/03 14:51:55 [error] 24985#0: *109 FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream, client: client IP, server: , request: "GET /myadmin/index.php HTTP/1.1", upstream: "fastcgi://unix:/run/php-fpm/www.sock:", host: "Host IP"
2018/07/03 14:51:56 [error] 24985#0: *109 FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream, client: client IP, server: , request: "GET /xampp/phpmyadmin/index.php HTTP/1.1", upstream: "fastcgi://unix:/run/php-fpm/www.sock:", host: "Host IP"
2018/07/03 14:51:56 [error] 24985#0: *109 FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream, client: client IP, server: , request: "GET /www/phpMyAdmin/index.php HTTP/1.1", upstream: "fastcgi://unix:/run/php-fpm/www.sock:", host: "Host IP"
ミドルウェア
・nginx
・laravel 5.6
言語
・PHP
PHP7(Laravel5)でシステムを作っているのですが、外部からアクセスにより、
定期的にnginxのerror.logに上記のような大量のログが出力されます。(おそらく脆弱性をつくようなアクセスかと)
error.logは監視対象となっているため、その度にエラー通知がくるのですが、そもそも、このようなアクセスは受け付けたくないと思っています。
しかし、アクセス元は、1つではないため、IP制限で弾くことは良い方法とは思えません。
また、nginxの設定でこのようなアクセスは受け付けないようにするのも、種類がたくさんあるため、現実的でない気がします。
そこで、このようなアクセスをそもそも受け付けないためには、どのような方法を皆さんとっていらっしゃるのかお知恵を拝借したいです。
それ以外だと以下の様な形です。まだこれでも全てではないと思いますが、、。
GET /xampp/phpmyadmin/index.php HTTP/1.1",
GET /www/phpMyAdmin/index.php HTTP/1.1",
GET /phpmyadmin-old/index.php HTTP/1.1",
GET /phpMyAdmin.old/index.php HTTP/1.1",
GET /claroline/phpMyAdmin/index.php HTTP/1.1",
GET /phpma/index.php HTTP/1.1",
GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1",
"POST /s.php HTTP/1.1",
"POST /db.init.php HTTP/1.1",
"POST /sheep.php HTTP/1.1",
"GET /phpMyAdmin/index.php HTTP/1.1",
"GET /pma/index.php HTTP/1.1",
"GET /PMA2/index.php HTTP/1.1",
"GET /pmamy2/index.php HTTP/1.1",
"GET /admin/index.php HTTP/1.1",
"GET /dbadmin/index.php HTTP/1.1",
"GET /admin/pma/index.php HTTP/1.1",
"GET /admin/mysql/index.php HTTP/1.1",
"GET /admin/phpmyadmin/index.php HTTP/1.1",
"GET /admin/phpmyadmin2/index.php HTTP/1.1",
"GET /mysql-admin/index.php HTTP/1.1",
"GET /phpmyadmin0/index.php HTTP/1.1",
"GET /phpmyadmin2/index.php HTTP/1.1",
"GET /myadmin2/index.php HTTP/1.1",
"GET /phpMyadmin_bak/index.php HTTP/1.1",
"GET /tools/phpMyAdmin/index.php HTTP/1.1",
"GET /phpMyAdminold/index.php HTTP/1.1",
"GET /pma-old/index.php HTTP/1.1",
"GET /typo3/phpmyadmin/index.php HTTP/1.1",
どれも同じですね。phpMyAdminの置き先を探るようなアクセスです。もちろん不正アクセスに変わりないですが。おそらくプログラムで連続アクセスしているように思います。
なるほど、そうなんですね。上記の様なアクセスがあったもの全てを、例えば、nginxで弾く様なことをしないといけないって感じですかね。
回答1件
0
ベストアンサー
サイトの性質と要件次第ですが、例えば以下の様な方法が考えられます。
- WAFをnginxでの処理の前に挟むことで、よくある脆弱性を突く攻撃はnginxにたどり着けない様にする。(既存アプリケーションの動作に影響を与えることがあるので、注意が必要)
- ファイアーウォール(iptablesやfirewalld等)で海外のIPを全て弾く運用が可能なのであれば、かなりの割合を弾くことができます(クローラーを防いでしまわないような注意が必要です。)
- ファイアーウォールで特定の国のIPを弾くだけでもずいぶんマシになります。
- IDSやIPSでもある程度防げそうですが、今回のケースにはあんまりマッチしないかもしれません。
投稿2018/07/03 07:48
編集2018/07/03 08:38
総合スコア18713
海外からのIPを防ぐ設定ですか。
それを実行できれば、かなり抑えられそうな気がします。
検討してみます。ありがとうございます
> ファイアーウォールで特定の国のIPを弾くだけでもずいぶんマシになります。
多いですよね・・。アジア圏(中国・南アジア)、欧州(フランス・イタリア)
Google解析だとその辺がいつも赤いですね。日本語記事しか書いてないのにどうやって辿りついた。
踏み台アクセスの可能性もあるか・・
国別IPリストやIPアドレスのブラックリストは色々なところで公表されていますので、要件に合いそうなものを探してみてください。
> mts10806さん
そうなんですよね。コンテンツやサーバの置き場所によっても傾向は変わりそうですが、手軽な割に効果はあると思います。(クローラーを防いでしまわないような工夫は必要ですが。。)
ありがとうございます。参考になりました!
あなたの回答
tips
プレビュー
