EC2でブログを立ち上げた途端に来た、怪しい攻撃たち - Qiita

はじめに 概要 AWSの個人アカウントでEC2インスタンスを立ち上げて、そこにNginxやCMSを入れて、ブログを開設しました。ドメイン名を取得してIPアドレスとの紐づけ等はしましたが、コンテンツはまだ投稿しておらず、ロクにアクセスも来るはずがありません。 ところが、Nginxのアクセスログを見てみると、作成して1,2日のうちに、世界中から攻撃を試みられていたことがわかりました。ここでは、具体的にどのような攻撃があったのかについてまとめておきます。 サーバーの設定 サーバーは、EC2のt2.mediumのインスタンスです。ミドルウェアとしてはNginxとMySQLを入れていて、CMSとしては、私が苦手なPHPで動くWordpressではなく、Node.jsで動くGhostを入れました。 SecurityGroupの設定は、ポート80と443を開放してあります。 攻撃の内容 以下に攻撃の内容

[kazema_tsu]

「怪しい攻撃が来た…怖いよう…」じゃなくて、怪しい攻撃は来るもの。「怪しい攻撃が来ないほうが怪しい」ぐらい慣れなきゃいけないと思う。

[Akaza]

“わかりにくい場所に置いておく必要がありそう” IPでもBasicでも何でもいいから認証をかけてほしい。

[knok]

IPv4の空間が狭すぎるねんな

[programmablekinoko]

ログ見てると圧倒的にphpadminやwpが多いよね　/　自前でやる以上普通に見る事だと思うけど、最近の人は感覚違うのか?

[mono_i_love]

脆弱性を狙った攻撃が多いと頭では分かっててもログを実際見ると改めて実感する。大システムだとフレームワークの脆弱性にパッチをあてるのも大作業なので億劫がられるがやっぱ迅速な対応が必要だよね

[otihateten3510]

世紀末みたいだ

[t-ueno]

そもそも、どうやってIPを特定されたのだろう？　EC2に振られるアドレスを端から順に調べるのだろうか。

[satoshie]

あるある

[HACHI-BAY]

今はWebサーバ公開はしてないけど、当時はDrupalとかもよく狙われてた。PHPMyAdminは昔から定番だね。

[gogatsu26]

“これらのリクエストは、PHPMyAdminの場所を探しているようです。もしも攻撃が成功していたら、DBの内容が抜き取られたり改ざんされたりされていたかもしれません。”

[reannkara]

面白い。

[rryu]

そういうログは微笑ましく眺めるが、たまに来る全力の脆弱性スキャナはいろいろ厳しいのでやめて欲しいと思う。

[lorenz_sys]

微笑ましい話。 だけど失礼ながら "金融系企業でITエンジニア" が "攻撃を他人事だと思わず、誰もがしっかり対策するべきなのだと実感" とか言ってるレベルでいいの？と心配になってしまう。中～高校生ならともかく。

[tanority]

こわ！！

[xturbo]

若手エンジニアが自前サーバ立てて「できたー」とかやってる時代はのどかでよかったな...