LetsDefend level 1 alert SOC129 - Successful Local File Inclusion event-id 63
Details
EventID: 63
Event Time: Feb. 21, 2021, 5:02 p.m.
Rule: SOC129 - Successful Local File Inclusion
Level: Security Analyst
Source Address 49.234.71.65
Source Hostname unknown
Destination Address 172.16.20.4
Destination Hostname gitServer
Username www-data
Request URL 172.16.20.4/srcCode/show.php?page=../../../../../../../etc/passwd
User Agent Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_4) AppleWebKit/605.1.15 (KHTML, like Gecko)
Device Action Allowed
playbook
Collection Data
- Source Address
49.234.71.65
VirusTotal: https://www.virustotal.com/gui/ip-address/49.234.71.65
ip-sc: https://ip-sc.net/ja/r/49.234.71.65
AbuseIPDB: https://www.abuseipdb.com/check/49.234.71.65 - Destination Address
172.16.20.4 - User-Agent
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_4) AppleWebKit/605.1.15 (KHTML, like Gecko)
WhatIsMyBrowser:https://developers.whatismybrowser.com/useragents/parse/1253253webkit-based-browser-macos-webkit
Search Log
Log Search - 49.234.71.65
# | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|---|
364 | Feb, 21, 2021, 05:02 PM | Proxy | 172.16.20.4 | 80 | 49.234.71.65 | 33212 |
362 | Feb, 21, 2021, 05:02 PM | Proxy | 172.16.20.4 | 80 | 49.234.71.65 | 33212 |
363 | Feb, 21, 2021, 05:02 PM | Proxy | 49.234.71.65 | 33212 | 172.16.20.4 | 80 |
361 | Feb, 21, 2021, 07:57 PM | Proxy | 49.234.71.65 | 33212 | 172.16.20.4 | 80 |
358 | Feb, 22, 2021, 04:31 PM | Proxy | 49.234.71.65 | 42212 | 172.16.20.4 | 80 |
359 | Feb, 22, 2021, 04:32 PM | Proxy | 49.234.71.65 | 42212 | 172.16.20.4 | 80 |
360 | Feb, 22, 2021, 04:33 PM | Proxy | 49.234.71.65 | 42212 | 172.16.20.4 | 80 |
何か既視感がある。
LetsDefend level 1 alert SOC128 - Malicious File Upload Attempt event-id 62 - 4ensiX
この調査でwebshellを利用していたIPと同じであった。LFIを試した後にwebshellのアップロードを行ったようだ。LFIには失敗してからwebshellに移ったか。
Analyze URL Address
先ほどの調べにより、49.234.71.65はSSHブルートフォースや攻撃に使われたり、複数のベンダによりMaliciousな判定がされている。
そもそもLFIしているので。
Answer: Malicious
Has Anyone Accessed IP/URL/Domain?
アラートの原因となった49.234.71.65からのアクセスは
Feb, 21, 2021, 05:02 PM<br> Request URL: 172.16.20.4/srcCode/show.php?page=../../../../../../../etc/shadow<br> Request Method: GET
Answer: Accessed
Containment
Containment!
Add Artifacts
Value | Type | Comment |
---|---|---|
172.16.20.4/srcCode/show.php?page=../../../../../../../etc/passwd | URL Address | Local File Inclusion |
49.234.71.65 | IP Address | LFI from this server |
End
??????
あぁぁ~
SOC129 - Successful Local File Inclusion
先ほど自分でLFI失敗したと言っているではないか。何故Accessedにしたのか。 あああぁぁ。