เมื่อนั่ง monitor ดู log ว่ามีผู้ใช้งานมาดูอะไรบ้างที่ services ก็เจอ path แปลกๆ เรียกเข้ามา ก็เอ๊ะหรือจะถูกแฮก ใช่ครับโดนแฮกจริงๆ แต่ไม่ใช่การ hacking ทีเป็นเป้าหมายชัดเจนซึ่งน่าจะเป็น bot hack ที่ลองยิง hack path ไปยัง Server ต่างๆ ถ้าเจอข้อมูลอะไรที่แฮกได้ต่อไปในอนาตดก็อาจจะโดนแฮกจริงจนทำใน Server ได้รับความเสียหายขึ้นมาจริงก็ได้ เลยลองเก็บข้อมูลเพิ่อมาดูว่า path ไหนที่มีสถิตเยอะสุดก็ได้ดังนี้เลยครับ

🥇 3487GET/.env
🥈 2654GET/robots.txt
🥉 2136GET/.git/config
666GET/sitemap.xml
498GET/geoserver/web/
484GET/vpn/index.html
483GET/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application
478GET/ui/authentication
466GET/debug/default/view?panel=config
411GET/config.json
409GET/?XDEBUG_SESSION_START=phpstorm
408GET/_profiler/phpinfo
403GET/actuator/gateway/routes
381GET/.vscode/sftp.json
381GET/.DS_Store
381GET/autodiscover/autodiscover.json?@zdi/Powershell
361GET/webui/
343POST/core/.env
327GET/server-status
327GET/ab2g
319GET/telescope/requests
310GET/admin/assets/js/views/login.js
309GET/t4
293GET/ab2h
290GET/login.action
284GET/about
283GET/?rest_route=/wp/v2/users/
280GET/v2/_catalog
280GET/s/4373e2031323e21373e2736313/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties
271GET/owa/auth/logon.aspx
271GET/_all_dbs
251GET/login
250GET/actuator/health
246GET/core/.env
232GET/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
232GET/owa/auth/x.js
227GET/info.php
223POST/dns-query
216GET/wp-login.php
210GET/version
204GET/nuclei.svg?JGCMp=x
204GET/nuclei.svg?vsocc=x
201GET/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f
192GET/server
176GET/+CSCOE+/logon.html
149POST/sdk
145GET/phpinfo.php
144GET/HNAP1
142GET/vendor/phpunit/src/Util/PHP/eval-stdin.php
142GET/vendor/phpunit/phpunit/Util/PHP/eval-stdin.php