久しぶりにハニーポットのネタです。 タイトルが全てですが「最近、WebShell設置の調査に対するスキャン多すぎない?」と思ったのが発端。 WebShell設置の調査に対するスキャンとは、適当なファイル名のphpファイルに対して、HTTPリクエストボディにdie(@md5(J4nur4ry));とかセットされているリクエストです。 こういうときに「なら、本当にWebShellがあったら、お前ら(攻撃者)どうするつもりなの?」と思うのは自然な発想ですね。 ということで、投入されたデータを実行するWebShellを作成して観察をしました。 環境 AWSのEC2のインスタンスを立てて、その上にDockerコンテナを立てました。 なお、現在、高対話型ハニーポット基盤を構築しており、そちらに構築したDockerコンテナの一つです。 運用が安定してインストール手順がまとまったらgithubで公開予定で