ブログ - RobbytuProjectsからのSQLインジェクション攻撃
2008年から使っている某Webサーバのファンが唸りをあげているので調べたら,データベースのCPUが高負荷.
Webアクセスログを調べると,SQLインジェクションを受けていました.
フィンランドのヘルシンキ,パナマ,カナダ,Oracleが関係するFull-stack Software engineerと名乗るRobert de Vriesが設置したサイトが管理しているようになっている.勉強にしては手が混んでいるし素人クローラーでもなさそう.
単純にSELECT文を発行したアクセスをログから抽出してみるとこんな感じ.
AbuseIPDBで調べると,素性はよろしくない.
アクセスの多いIPアドレスからのリクエストパラメータを抽出.
最初の1つをURLデコードするとこうなる.
CHR()という関数があるけど,ASCIIコード表から可視化してみた. ちょっとよくわからんな.DUAL表を使おうとしているのでOracleユーザを狙った攻撃か.
ドメインを調べてみる.
2009年登録なので歴史はありそう.
次にIPアドレスを調べてみる.
2023年08月23日にパナマにあるCyberzone S.A.という会社が取得している模様.Cyberzoneで調べると
このcyberzonehubという組織のWebサイトはありませんでした.まぁ素性はよろしくなさそう.
攻撃元となっているRobbytuProjectsのサイトを見ると,1ページのシンプルな内容.
翻訳するとこれ.
このネット社会,爽やかな笑顔を晒すエンジニアがいるとは思えないので,ネットのフリー素材じゃ無いかと思って検索してみたけど,それっぽいものは見つからず.
まずはGoogle Lens.
検索結果はショッピングサイト中心のようで,Robert de Vriesなる人物が来ているシャツに似たものを売っているショッピングサイトばかり.
次に,MicrosoftのBingで検索.
検索結果が出てこなかった.
次に,ロシアのYandexで検索.
それっぽい顔写真がたくさん出てくるけど,同一な人は少ないかな.人間の特徴点は捉えているようだけど.
そして範囲を顔部分に絞ってみた.
特徴としては,笑顔の西洋人ばかり抽出されている感じ.
こうしてみるとフリー素材では無いのかもしれないなぁ.
Webアクセスログを調べると,SQLインジェクションを受けていました.
フィンランドのヘルシンキ,パナマ,カナダ,Oracleが関係するFull-stack Software engineerと名乗るRobert de Vriesが設置したサイトが管理しているようになっている.勉強にしては手が混んでいるし素人クローラーでもなさそう.
単純にSELECT文を発行したアクセスをログから抽出してみるとこんな感じ.
$ grep "SELECT" acc.log |awk '{print $1'}|sort|uniq -c|sort -r🆑
1616 193.56.113.14
986 193.56.113.69
941 193.56.113.62
765 193.56.113.7
709 193.56.113.47
679 193.56.113.52
618 193.56.113.24
592 193.56.113.34
589 193.56.113.43
546 193.56.113.29
431 193.56.113.17
422 193.56.113.39
$アクセスの多いIPアドレスからのリクエストパラメータを抽出.
$ grep "193.56.113.14" acc.log.1699488000 |head -n 5|awk '{print $7}'
index.php?page=%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
index.php?page=%2D2047%20%27%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
index.php?page=%2D8371%20%27%29%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
index.php?page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29
%7C%7CCHR%2871%29%7C%7CCHR%28100%29%7C%7CCHR%28114%29%7C%7CCHR%28117%29%7C%7CCHR
%2874%29%7C%7CCHR%28100%29%7C%7CCHR%2899%29%7C%7CCHR%2872%29%20FROM%20DUAL%2D%2D
index.php?page=%2D9456%20%27%29%20ORDER%20BY%201%2D%2D
$%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
↓
-1756 ') ORDER BY 21--
page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29%7C%7CCHR%2871%29%
↓
page=-9856 ' UNION ALL SELECT CHR(66)||CHR(79)||CHR(71)%
CHR()という関数があるけど,ASCIIコード表から可視化してみた.
CHR(66)|| →6
CHR(79)|| →O
CHR(71)|| →G
CHR(100)|| →d
CHR(114)|| →r
CHR(117)|| →u
CHR(74)|| →J
CHR(100)|| →d
CHR(99)|| →c
CHR(72) →H
FROM DUAL--
↓
6oGdriKdcH
ドメインを調べてみる.
$ whois robbytu.net🆑
Domain Name: ROBBYTU.NET
Registry Domain ID: 1558754632_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.rrpproxy.net
Registrar URL: http://www.key-systems.net
Updated Date: 2023-06-11T07:31:55Z
Creation Date: 2009-06-10T17:50:12Z 🈁
Registry Expiry Date: 2024-06-10T17:50:12Z
Registrar: Key-Systems GmbH
Registrar IANA ID: 269
Registrar Abuse Contact Email: abuse@key-systems.net
Registrar Abuse Contact Phone: +49.68949396850
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: BAYAN.NS.CLOUDFLARE.COM
Name Server: TANI.NS.CLOUDFLARE.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2023-11-10T03:23:03Z <<<次にIPアドレスを調べてみる.
$ whois 193.56.113.14🆑
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://apps.db.ripe.net/docs/HTML-Terms-And-Conditions
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '193.56.113.0 - 193.56.113.255'
% Abuse contact for '193.56.113.0 - 193.56.113.255' is 'abuses@cyberzonehub.com'
inetnum: 193.56.113.0 - 193.56.113.255
netname: CYBERZ-193-56-113-0
country: FI
geoloc: 60.2214193 24.9847017
org: ORG-CS768-RIPE
admin-c: AR68231-RIPE
tech-c: AR68231-RIPE
status: ASSIGNED PA
remarks: Geofeed https://geofeeds.cyberzonehub.com/geofeed.csv
mnt-by: PREFIXBROKER-MNT
created: 2023-08-23T12:41:17Z🆑
last-modified: 2023-08-23T12:41:17Z
source: RIPE
organisation: ORG-CS768-RIPE
org-name: Cyberzone S.A.
org-type: OTHER
address: PH Bay Mall, Third Floor, Bella Vista
address: NA Panama City
address: Panama
abuse-c: AR68231-RIPE
mnt-ref: PREFIXBROKER-MNT
mnt-by: PREFIXBROKER-MNT
created: 2022-12-07T10:21:58Z
last-modified: 2023-08-23T08:02:07Z
source: RIPE # Filtered
role: Abuse-C Role
address: PANAMA
address: Panama City
address: 0901
address: PH Bay Mall, Third Floor, Bella Vista
abuse-mailbox: abuses@cyberzonehub.com
nic-hdl: AR68231-RIPE
mnt-by: lir-pa-cyberzone-1-MNT
created: 2022-04-29T08:15:54Z
last-modified: 2022-04-29T08:15:55Z
source: RIPE # Filtered
% Information related to '193.56.113.0/24AS209854'
route: 193.56.113.0/24
origin: AS209854
mnt-by: PREFIXBROKER-MNT
created: 2023-08-23T12:41:17Z
last-modified: 2023-08-23T12:41:17Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.108 (SHETLAND)
$$ whois cyberzonehub.com🆑
Domain Name: CYBERZONEHUB.COM
Registry Domain ID: 2607139274_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.tucows.com
Registrar URL: http://www.tucows.com 🈁カナダのレジストラの模様
Updated Date: 2023-04-11T07:20:03Z
Creation Date: 2021-04-23T13:00:34Z
Registry Expiry Date: 2024-04-23T13:00:34Z
Registrar: Tucows Domains Inc.
Registrar IANA ID: 69
Registrar Abuse Contact Email: domainabuse@tucows.com
Registrar Abuse Contact Phone: +1.4165350123
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Name Server: ARYANNA.NS.CLOUDFLARE.COM
Name Server: KENNETH.NS.CLOUDFLARE.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2023-11-10T04:18:56Z <<<このcyberzonehubという組織のWebサイトはありませんでした.まぁ素性はよろしくなさそう.
攻撃元となっているRobbytuProjectsのサイトを見ると,1ページのシンプルな内容.
翻訳するとこれ.
このネット社会,爽やかな笑顔を晒すエンジニアがいるとは思えないので,ネットのフリー素材じゃ無いかと思って検索してみたけど,それっぽいものは見つからず.
まずはGoogle Lens.
検索結果はショッピングサイト中心のようで,Robert de Vriesなる人物が来ているシャツに似たものを売っているショッピングサイトばかり.
次に,MicrosoftのBingで検索.
検索結果が出てこなかった.
次に,ロシアのYandexで検索.
それっぽい顔写真がたくさん出てくるけど,同一な人は少ないかな.人間の特徴点は捉えているようだけど.
そして範囲を顔部分に絞ってみた.
特徴としては,笑顔の西洋人ばかり抽出されている感じ.
こうしてみるとフリー素材では無いのかもしれないなぁ.
