DirBusterを使ったディレクトリ探索

DirBusterは、Webサーバーのファイルやフォルダをリストベースのブルートフォースで探すツールです。fuzzerの一つ。インストールされているアプリを調べたり、よく使われる文字列や、ランダム文字列でリストを作って存在するディレクトリを探したりします。診断ツールでもあり、攻撃にも利用されるツールでもあります。

今回は、中国の特定のIPアドレスからDirBusterを使ったディレクトリ探索が行われていることを観測しました。特定サービス利用中のサーバーのみ一時間あたり3000回程度で6/25-26の２日間のみで、網羅的ではなく特定のクラウドサービスが狙われたものと想定されます。

HEAD requestで探索されたディレクトリ名、ファイル名の例です。

 /thereIsNoWayThat-You-CanBeThere/	
 /winbook/
 /winandnet_rc2003/
 /win32/
 /wiki_edit/
 /wiiplay/
 /wiimote/
 /why_us/
 /whoyou/
 /whoweare/
 /whitevertline/
 /whitegray/
 /whitebox/
 /white_paper/
 /whatsup/
 /wesun/
 /wesat/
 /werkwijze/
 /wellington/
 /welkom/
 /weekday/
 /weed/
 /webtv/
 /webspace/
 /website-promotion/
 /webserver/
 /webscr/
 /webmd/
 /ta/
 /t_3/
 /t437/
 /t351/
 /t15/
 /t14/
 /szukaj/
 /systeme/
 /syst/
 /synth/
 /sylpheed-claws/
 /swtoppoplist/
 /swr/
 /swpat/
 /swing/
 /swiftpay1/
 /sweepstakes/
 sub_modern5/
 /sub-indie/
 /stylesheets/
 /style_images.php1
 /stw/
 /stun-gun/
 /studievoorlichting/
 /studies/
 /student.php
 /oss/
 /osl-2/
 /oserwisie/
 /osc303/
 /osama/
 /os_x/
 /orwell/
 /orphanage/
 /orderphentermine/
 /orderforms/
 /order/
 /order-xanax/
 /oracle-management/
 /optout/
 /optimisation/

ただ単にツールｗ使っただけのブルートフォースなのか、無駄な文字列の中に特定のターゲット文字列があるのかわかりませんが、とりあえずこれ以後この攻撃も、関連性のありそうな攻撃も観測されていません。

[カテゴリ:webサーバー観察日記]

by jyake