ハニーポッターの興味を引く攻撃事例紹介& Web サーバのログ調査方法紹介

Transcript

1. ೥݄೔
   ୈճULULηΩϡϦςΟษڧձ!ߴ௬ࢢཱੜֶ֔शηϯλʔ
   IUUQTULULTFDDPOOQBTTDPNFWFOU ϋχʔϙολʔͷڵຯΛҾ͘߈ܸࣄྫ঺հ 
   8FC
   αʔόͷϩάௐࠪํ๏঺հ !NPSJIJ@TPD

2. 
   XIPBNJ w ৿ٱ
   ࿨ত !NPSJIJ@TPD
   
   w ຊۀ͸ηΩϡϦςΟΤϯδχΞɾΞφϦετ
   w झຯͰϋχʔϙοτͷӡ༻Λ͢Δϋχʔϙολʔ
   w

   ϒϩάˠ
   IUUQXXXNPSJIJTPDOFU  ˡϒϩάͷʮϋχʔϙοτ؍࡯ه࿥ʯ͕
   
   
   
   ຊʹͳΓ·ͨ͠
   ೥݄೔ൃച
   ిࢠॻ੶൛ແྉࢼಡ൛͋Γ·͢
   ʮαΠόʔ߈ܸͷ଍੻Λ෼ੳ͢Δ
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   ϋχʔϙοτ؍࡯ه࿥ʯ
   ஶऀɿ৿ٱ࿨ত
   ग़൛ɿल࿨γεςϜ ࠓ·Ͱʹ͓ੈ࿩ʹͳͬͨΠϕϯτ ɾ*5,FZT ݱ4FD$BQ
   ɾωοτϫʔΫύέοτΛಡΉձ Ծ
   ɾ/*4$
   αΠόʔϋϩ΢Οϯ
   ɾ*OUFSOFU8FFL
   ɾ)BSEFOJOH 7BMVF$IBJO
   ༏উ
   ɾTTNKQ
   ɾ"*4FD
   ɾULUL
   ηΩϡϦςΟษڧձˡ/&8

3. ϋχʔϙοτͱ͸ w᠘ʹ͔͔ͬͨ߈ܸऀͷߦಈΛͭ·ͼΒ͔ʹ ͢ΔγεςϜ  ߈ܸऀ͕ෆਖ਼ϩάΠϯ͢Δͱɾɾɾ

4. 44)
   ϋχʔϙοτͷ؍࡯ ྫ  SSHϋχʔϙοτ(Kippo)Ͱ࠾औͨ͠ෆਖ਼ϩάΠϯޙͷܗ੻2 https://youtu.be/iFvLr55A5nU

5. ϋχʔϙολʔඞಡهࣄ w μʔΫ8FCͰͷαΠόʔ൜ࡑऀಉ࢜ͷೄுΓ૪͍
   w τϨϯυϚΠΫϩ
   ηΩϡϦςΟϒϩά
   w IUUQCMPHUSFOENJDSPDPKQBSDIJWFT
   w ໨࣍
   w

   αΠόʔ൜ࡑऀΛ͓ͼ͖دͤΔϋχʔϙοτΛઃஔ
   w ʮσΟʔϓ8FCʯରʮද૚8FCʯ
   w μʔΫ8FC಺෦߅૪
   w ݁࿦  ͜ΜͳλΠτϧ͚ͭΒΕͨΒ
   ಡΉ͔͠ͳ͍ΑͶ

6. ࠓճͷςʔϚ  JG ΋͠΋ࣗ෼͕؅ཧ͢Δαʔόʹ
   44)
   Ͱෆਖ਼ϩάΠϯ͞ΕͨΒɾɾɾ
   ΋͠΋
   8PSE1SFTT
   ͷϒϩάΛվ͟Μ͞ΕͨΒɾɾɾ
   ΋͠΋
   8FC
   αʔόͷϩάΛௐࠪ͢Δඞཁ͕ग़͖ͯͨΒɾɾɾ

7. ڵຯΛҾ͍ͨϩά
   ࡉ͔͗ͯ͢఻ΘΒͳ͍
   44)
   ϋχʔϙοτฤ w 44)
   ϋχʔϙοτͰ͸߈ܸऀ͕ෆਖ਼ϩάΠϯͨ͋͠ͱ
 ࣮ߦͨ͠ίϚϯυΛه࿥Ͱ͖Δ
   w ߈ܸऀʹΑͬͯૂ͍͸༷ʑɾɾɾ
    ΞΫηε੍ݶ
   

   $
   αʔόԽ
    όοΫυΞΛ࢓ࠐΉ
    αʔϏεఀࢭ
    աܹ೿  σϞΛަ͑ͭͭ঺հ

8. ΞΫηε੍ݶ w ϑΝΠΞ΢Υʔϧ JQUBCMFT ͷઃఆΛมߋ
   w ߈ܸऀͷ*1ΞυϨε͔ΒUDQ΁ͷΞΫηεΛڐՄ
   w ͦͷଞͷUDQ΁ͷΞΫηεΛڋ൱ 

   ˠਖ਼نͷ؅ཧऀ΋
   44)
   ͰϩάΠϯͰ͖ͳ͘ͳΔ ߈ܸऀͷ IP ΞυϨε

9. $
   αʔόԽ w Ϙοτωοτͷߏ੒Λ͓͓·͔ʹ෼ྨ͢Δͱ
   w $
   αʔό Ϙοτωοτͷ࢘ྩౝ
   w κϯϏ ϘοτωοτͷΫϥΠΞϯτͷҰ෦

    ˞$
   ɾɾɾ
   $$
   $PNNBOE
   BOE
   $POUSPMͷུ κϯϏ κϯϏ κϯϏ $ ߈ܸର৅ ᶅ߈ܸ ᶃࢦࣔ͘Ε ᶄ%P4
   ߈ܸ͠Ζ

10. $
    αʔόԽ w 44)
    ͸κϯϏԽ͢ΔͨΊʹ߈ܸ͞ΕΔ͜ͱ͕ଟ͍
    w كʹɺ$
    αʔόԽΛૂͬͨϩάΠϯ͕͋Δ  w QTZCOD ͍͞ͼʔ͑͵͠ʔ
    ͸
    *3$
    αʔόιϑτ΢ΣΞͷ

    ͭͰɺ*3$
    Ϙοτͷ੍ޚʹར༻͞ΕΔ৔߹͕͋Δ ࣗ෼͕؅ཧ͍ͯ͠ΔαʔόͰɺೝ஌͍ͯ͠ͳ͍ϓϩηε͕ ϙʔτΛ։͚͍ͯͨΒ telnet ͯ͠ΈΔ͜ͱΛΦεεϝ͠·͢ɻ όφʔ͔Β৘ใ͕ಘΒΕΔ͔΋͠Ε·ͤΜɻ

11. όοΫυΞΛ࢓ࠐΉ w όοΫυΞ͸ɺ߈ܸऀ͕ΑΓ؆୯ʹ߈ܸର৅Λૢ࡞͢ ΔͨΊʹར༻͞ΕΔɻ  ※OpenSSH όοΫυΞͷαϯϓϧ(sshbd5.5p1.diff ͷத਎ͷҰ෦)

12. όοΫυΞΛ࢓ࠐΉ w TTICEQEJ⒎
    ͷ಺༰ ػೳ
    w ϚελʔύεϫʔυΛ௥Ճ͢Δ
    w 44)
    ϩάΠϯ࣌ͷύεϫʔυΛอଘ͢Δ 

    ˠ߈ܸऀ͕͍ͭͰ΋ϩάΠϯՄೳʹͳΔ
    ˠϩάΠϯϢʔβͷύεϫʔυΛ઄औ͞ΕΔ

13. αʔϏεఀࢭ w ߈ܸऀʹͱͬͯअຐͳϓϩηεΛఀࢭ͢Δ͜ͱ͕͋Δ  ᶃෆਖ਼ϩάΠϯ͢Δͷ͸Ұਓ͚ͩͰ͸ͳ͍ ͔΋͠Εͳ͍
    ᶄଞͷ߈ܸऀ͕ར༻͍ͯ͠ΔͰ͋Ζ͏ϓϩηεΛఀࢭ αΠόʔ൜ࡑऀؒͰ͸ʮ౪ਓʹ΋ਔٛ͋Γʯͷश׳͸ͳ͍Α͏Ͱ͢ɻ

14. աܹ೿ w փᗙʹؼ͢  
    LJMM
    
    
    ˞࣮ߦͯ͠͸͍͚ͳ͍

15. աܹ೿ w ͢΂ͯͷϓϩηεʹ
    ,*--
    γάφϧΛૹΔίϚϯυ  ※kill ίϚϯυͷ man ͔ΒҾ༻

16. ڵຯΛҾ͍ͨϩά
    8PSE1SFTT
    3&45
    "1*
    ฤ ϦΞϧϋχʔϙοτˠ
    ौ୩۠;Ε͍͋২෺ηϯλʔʹͯ೥݄ࡱӨ

17. ڵຯΛҾ͍ͨϩά
    8PSE1SFTT
    3&45
    "1*
    ฤ w ೥݄͔Β߈ܸ͕ྲྀߦͨ͠
    w 3&45
    "1*
    ͷॲཧʹෆඋ͕͋Γɺ8PSE1SFTTͷهࣄ Λվ͟Μ͞ΕΔ੬ऑੑ  Ҿ༻ݩɿ8PSE1SFTT
    ͷ੬ऑੑରࡦʹ͍ͭͯ *1"

    
    IUUQTXXXJQBHPKQTFDVSJUZDJBESWVMXPSEQSFTTIUNM

18. ϋχʔϙολʔͷ೰Έ w ੈؒͰ͸ྲྀߦ͍ͬͯΔͷʹɺͳ͔ͳ͔ϋχʔϙοτͰ ߈ܸΛݕ஌Ͱ͖ͳ͍ɾɾɾ  ˞ը૾Ҿ༻ݩɿ݄ॳΊͷෳ਺ͷࠃ಺αΠτͷվ͟Μʹ͍ͭͯ·ͱΊͯΈͨ QJZPMPH
    
    
    IUUQEIBUFOBOFKQ,BOHP

19. ߈ܸΛ੒ޭͤ͞Δʹ͸ஈ֊ඞཁ 8PSE1SFTT
    ͷهࣄ
    *%
    औಘ
    ࢦఆͨ͠هࣄ
    *%
    ͷίϯςϯπΛվ͟Μ  ˞ͨͩ͠ɺͦ΋ͦ΋߈ܸର৅ͷ
    63-
    Ͱ
    8PSE1SFTT
    ͕ಈ͍͍ͯΔ͜ͱ͕લఏ
    ϋχʔϙοτ͸௨ৗɺ
    8PSE1SFTT
    ͷ
    ৘ใΛฦ͞ͳ͍ͷͰɺ߈ܸऀ͕ʹͨͲΓ ண͔ͳ͍ɻ ˠ8PSE1SFTT
    Λઃஔͯ͠ΈͨΒ˕

20. ࣮ࡍͷ߈ܸͷྲྀΕ  ˣ8PSE1SFTT
    ࢖ͬͯΔͧ ࢲ͸
    (PPHMF
    CPU
    Ͱ͢ɻϖʔδΛݟ͍ͤͯͩ͘͞ɻ ࢲ͸
    (PPHMF
    CPU
    Ͱ͢ɻ
    هࣄ
    *%
    ͷҰཡΛऔಘ͠·͢ɻ QFSM
    ϓϩάϥϜͰ͋Δ͜ͱ͕൑໌ɻ
    1045
    ϝιουͰ
    +40/
    ܗࣜͷσʔλΛૹ৴ɻ ˣվ͟Μͯ͠΍Δͥ

21. վ͟Μྫ  ϦϯΫʹͳ͍ͬͯΔˠ ؍ଌͨ͠ύέοτΛݩʹ
 ߈ܸΛ࠶ݱͯ͠ΈΔͱ ˞8PSE1SFTT
    
    Ͱݕূ

22. ϦϯΫઌͷαΠτΛௐࠪͯ͠Έͨ w ΫϨδοτΧʔυ৘ใͷൢച ͷ͍ٙͷ͋Δ αΠτ ͩͬͨɻ
     ˞ΞΫηε͚ͨͩ͠Ͱɺ࣮ࡍʹߪೖ͍ͯ͠ͳ͍ͨΊϑΟογϯάαΠτͳͷ͔ෆ໌

23. ඃ֐ঢ়گ  w (PPHMF
    ݕࡧ͢Δͱଟ਺ɺώοτͨ͠ɻ
    w Ξϯμʔάϥ΢ϯυϚʔέοτͷ޿ࠂͷՄೳੑ͕͋ Δ ਅِෆ໌ ɻ

24. 8FC
    αʔόͷϩάௐࠪํ๏঺հ

25. 8FC
    αʔόͷϩάௐࠪํ๏঺հ w ΞΫηεϩάΛௐࠪ͢Δ؆୯ͳͭͷํ๏
     J-PH4DBOOFS
    Λ࢖͏
     HSFQ
    G
    Λ࢖͏ 

26. J-PH4DBOOFS
    ͱ͸ w ΢ΣϒαΠτͷ߈ܸஹީݕग़πʔϧ
    J-PH4DBOOFS
    w IUUQTXXXJQBHPKQTFDVSJUZWVMOJ-PH4DBOOFS  J-PH4DBOOFS͸ɺ΢ΣϒαʔόͷΞΫηεϩά͔Β ߈ܸͱࢥΘΕΔࠟ੻Λݕग़͢ΔͨΊͷπʔϧͰ͢ɻ
    ΢ΣϒαΠτͷϩάΛղੳ͢Δ͜ͱͰ߈ܸͷࠟ੻Λ ֬ೝͰ͖ɺҰ෦ͷࠟ੻ʹ͍ͭͯ͸߈ܸ͕੒ޭͨ͠Մ

    ೳੑΛ֬ೝͰ͖·͢ɻ·ͨɺ44)΍'51αʔόͷϩ άʹରͯ͠΋ɺ߈ܸͱࢥΘΕΔࠟ੻Λݕग़͢Δ͜ͱ ͕Ͱ͖·͢ɻ ˞
    *1"
    ͷ
    8FC
    αΠτ͔ΒҾ༻

27. J-PH4DBOOFS
    ࢖͍ํ  ᶃ ᶄ ᶅ

28. J-PH4DBOOFS
    ࢖͍ํ w ສ݅ఔ౓ͷϩάͳΒ਺ඵͰղੳ͕׬ྃ͢Δ 

29. J-PH4DBOOFS
    ղੳ݁Ռ ྫ w ղੳ݁Ռ͸ɺ)5.-5959.-
    ܗࣜͰอଘՄೳ  )5.-
    ܗࣜͷղੳ݁Ռɻ࣮ࡍ͸͜ͷԼʹ֤߈ܸͷղઆจ΍ɺ߈ܸͱ൑ఆͨ͠ϩά৘ใ͕هࡌ͞Ε͍ͯΔɻ

30. HSFQ
    G w J-PH4DBOOFS
    ͸ศརͳπʔϧ͕ͩݶք΋͋Δ
 ˠࣗ෼Ͱ߈ܸͷϙΠϯτΛ·ͱΊ͓͍ͯͯҰׅݕࡧ͢Δ
    w HSFQ
    ͷʮGʯΦϓγϣϯ͸ɺࢦఆͨ͠ϑΝΠϧͷ
 ಺༰ʹ߹க͢ΔߦΛநग़͢Δ͜ͱ͕Ͱ͖Δɻ
    w ྫ
    BUUBDLTJHUYU
    

    w 
    HSFQ
    G
    BUUBDLTJHUYU
    BDDFTT@MPH  DHJGPSDF@SFEJSFDU
    
    $'*%&
    XQDPOpHQIQ

31. ߈ܸͷϙΠϯτͱݴΘΕͯ·ͯ͠΋ɾɾɾ w ͦΜͳ೰ΈΛ͓࣋ͪͷ͋ͳͨʹɺ͏͚ͬͯͭͷॻ੶ ͕͋Γ·͢ 

32. ϋχʔϙοτ؍࡯ه࿥ ॻ੶ w ୈষҎ߱ͷ߈ܸղઆͷ࠷ޙʹɺϩάௐࠪ࣌ͷΩʔ ϫʔυΛهࡌ͍ͯ͠·͢ɻ
    w ͜ΕΒͷΩʔϫʔυΛ༗ޮ׆༻͍͚ͯͨͩ͠Δͱɺ ϩάௐ͕ࠪ௙ΔͷͰ͸ͳ͍͔ͱࢥ͍·͢ɻ 

33. ·ͱΊ w 44)
    Ͱෆਖ਼ϩάΠϯͯ͘͠Δ߈ܸऀͷૂ͍͸ઍࠩສผ
    w JQUBCMFT
    ʹΑΔΞΫηε੍ݶ
    w QTZCOD
    Λར༻ͨ͠
    $
    αʔόԽ
    w 0QFO44)
    ͷόοΫυΞΛ࢓ࠐΉ
    w

    ଞਓͷ߈ܸπʔϧΛఀࢭͤ͞Δ
    w શϓϩηεఀࢭΛࢼΈΔաܹ೿
    w 8PSE1SFTT
    3&45
    "1*
    ΋௨ৗͷϋχʔϙοτͰ͸
 ߈ܸΛݕ஌͢Δ͜ͱ͕೉͍͕͠ɺ߈ܸख๏Λཧղ͢Δ ͜ͱͰɺ߈ܸ௨৴Λิ଍͢Δ͜ͱ͕ՄೳʹͳΔɻ
    w ϩάௐࠪ࣌ʹ͸ʮJ-PH4DBOOFSʯ΍ʮHSFQ
    GʯͳͲ ͷπʔϧΛ༗ޮ׆༻͠·͠ΐ͏ɻ