• Details
• playbook
  • Collection Data
  • Search Log
    • Log Search - 49.234.71.65
  • Analyze URL Address
  • Has Anyone Accessed IP/URL/Domain?
  • Containment
  • Add Artifacts
• End

Details

EventID: 63
Event Time: Feb. 21, 2021, 5:02 p.m.
Rule: SOC129 - Successful Local File Inclusion
Level: Security Analyst
Source Address 49.234.71.65
Source Hostname unknown
Destination Address 172.16.20.4
Destination Hostname gitServer
Username www-data
Request URL 172.16.20.4/srcCode/show.php?page=../../../../../../../etc/passwd
User Agent Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_4) AppleWebKit/605.1.15 (KHTML, like Gecko)
Device Action Allowed

playbook

Collection Data

• Source Address
  49.234.71.65
  VirusTotal: https://www.virustotal.com/gui/ip-address/49.234.71.65
  ip-sc: https://ip-sc.net/ja/r/49.234.71.65
  AbuseIPDB: https://www.abuseipdb.com/check/49.234.71.65
• Destination Address
  172.16.20.4
• User-Agent
  Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_4) AppleWebKit/605.1.15 (KHTML, like Gecko)
  WhatIsMyBrowser:https://developers.whatismybrowser.com/useragents/parse/1253253webkit-based-browser-macos-webkit

Search Log

Log Search - 49.234.71.65

何か既視感がある。
LetsDefend level 1 alert SOC128 - Malicious File Upload Attempt event-id 62 - 4ensiX
この調査でwebshellを利用していたIPと同じであった。LFIを試した後にwebshellのアップロードを行ったようだ。LFIには失敗してからwebshellに移ったか。

Analyze URL Address

先ほどの調べにより、49.234.71.65はSSHブルートフォースや攻撃に使われたり、複数のベンダによりMaliciousな判定がされている。
そもそもLFIしているので。
Answer: Malicious

Has Anyone Accessed IP/URL/Domain?

アラートの原因となった49.234.71.65からのアクセスは

Feb, 21, 2021, 05:02 PM<br>
Request URL: 172.16.20.4/srcCode/show.php?page=../../../../../../../etc/shadow<br>
Request Method: GET

Answer: Accessed

Containment

Containment!

Add Artifacts

End

SOC129 - Successful Local File Inclusion

先ほど自分でLFI失敗したと言っているではないか。何故Accessedにしたのか。 あああぁぁ。