ウェブシェル攻撃者のIP追跡

VPC環境で利用できます。

ウェブシェル侵害事故発生時、ウェブシェル攻撃者のIPを追跡する際に以下の内容をご参照ください。

コンソールで提供される攻撃者と疑われるIPリストを確認
検知されたウェブシェル行為と一緒に収集された疑わしいIPリストは、ウェブシェル行為が発生した時点で様々な条件をもとに導き出したリストです。ウェブシェル行為が発生した時点で顧客のVMとの通信の有無など様々な条件を比較し、国情報と一緒にIPを提供します。

疑わしいIPリストの中に攻撃者IPが存在する可能性が比較的高いため、攻撃者IPを追跡する際に参考にできます。
状況によっては疑わしいIPを収集できない場合があります。収集の有無と関係なしに以下の内容を参考にしてAccess Logを用いて攻撃者IPを追跡してみてください。

Access Logを通じたウェブシェル攻撃者のIP追跡
WASのAccess Logでウェブシェル行為を見つけ出してウェブシェル攻撃者IPを追跡できます。Access Logでウェブシェルを実行するためにアクセスしたIPを見つけ出す際は、以下のような条件をご参照ください。

• ウェブシェルが検知された時点でアクセスした履歴は、攻撃者である可能性があります。
  アクセスしたファイルの拡張子がWASで実行できる拡張子、あるいは意図しなかったファイルである場合、ウェブシェルの可能性があります。
• アップロードできるパスに存在するファイルにアクセスした履歴があれば、ウェブシェルを実行するためのアクセスである可能性があります。
• ウェブシェルが実行したコマンドがURLクエリストリング(Query String)に残っている場合、ウェブシェルを実行するためのアクセスである可能性があります。
  例：webshell.php?cmd=cat%20/etc/hosts