Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ハニーポッターの興味を引く攻撃事例紹介& Web サーバのログ調査方法紹介
Search
Kazuaki Morihisa
June 04, 2017
Technology
5
3.5k
ハニーポッターの興味を引く攻撃事例紹介& Web サーバのログ調査方法紹介
2017年6月4日 第3回tktkセキュリティ勉強会@高槻市立生涯学習センター発表資料
https://tktksec.connpass.com/event/52665/
Kazuaki Morihisa
June 04, 2017
Tweet
Share
More Decks by Kazuaki Morihisa
See All by Kazuaki Morihisa
まだ見ぬ攻撃を求めて
morihi_soc
1
1k
ハニーポットのログを国別で傾向分析してみた
morihi_soc
1
2k
ハニーポットで見る攻撃の検知傾向 〜秘密のファイル〜
morihi_soc
2
1.9k
あの脆弱性は今 ~ハニーポットで追ってみた~
morihi_soc
5
3.1k
ハニーポット活用事例紹介
morihi_soc
0
1.3k
ハニーポットの育てかた
morihi_soc
0
1.3k
Satori 系ボットネット観察 Attack from Japan
morihi_soc
0
1.9k
ハニーポットと脆弱性スキャン
morihi_soc
2
1.3k
Drupalgeddon2 をハニーポットで観察してみた
morihi_soc
1
1.3k
Other Decks in Technology
See All in Technology
エンジニアリングマネージャー“お悩み相談”パネルセッション
ar_tama
1
500
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
5
39k
20150719_Amazon Nova Canvas Virtual try-onアプリ 作成裏話
riz3f7
0
110
低レイヤソフトウェア技術者が YouTuberとして食っていこうとした話
sat
PRO
7
5.8k
Building GoReleaser - from shell script to paid product
caarlos0
0
200
名刺メーカーDevグループ 紹介資料
sansan33
PRO
0
820
Maintainer Meetupで「生の声」を聞く ~講演だけじゃないKubeCon
logica0419
0
140
今だから言えるセキュリティLT_Wordpress5.7.2未満を一斉アップデートせよ
cuebic9bic
2
190
Deep Security Conference 2025:生成AI時代のセキュリティ監視 /dsc2025-genai-secmon
mizutani
5
3.7k
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
6.9k
(HackFes)米国国防総省のDevSecOpsライフサイクルをAWSのセキュリティサービスとOSSで実現
syoshie
5
600
ロールが細分化された組織でSREは何をするか?
tgidgd
1
470
Featured
See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
271
27k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Become a Pro
speakerdeck
PRO
29
5.4k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
5.9k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
31
1.3k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.9k
KATA
mclloyd
30
14k
Into the Great Unknown - MozCon
thekraken
40
1.9k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
1k
Bash Introduction
62gerente
613
210k
The Art of Programming - Codeland 2020
erikaheidi
54
13k
A Tale of Four Properties
chriscoyier
160
23k
Transcript
݄ୈճULULηΩϡϦςΟษڧձ!ߴ௬ࢢཱੜֶ֔शηϯλʔ IUUQTULULTFDDPOOQBTTDPNFWFOU ϋχʔϙολʔͷڵຯΛҾ͘߈ܸࣄྫհ 8FCαʔόͷϩάௐࠪํ๏հ !NPSJIJ@TPD
XIPBNJ w ٱত !NPSJIJ@TPD w ຊۀηΩϡϦςΟΤϯδχΞɾΞφϦετ w झຯͰϋχʔϙοτͷӡ༻Λ͢Δϋχʔϙολʔ w
ϒϩάˠIUUQXXXNPSJIJTPDOFU ˡϒϩάͷʮϋχʔϙοτ؍هʯ͕ ຊʹͳΓ·ͨ͠ ݄ൃച ిࢠॻ੶൛ແྉࢼಡ൛͋Γ·͢ ʮαΠόʔ߈ܸͷΛੳ͢Δ ϋχʔϙοτ؍هʯ ஶऀɿٱত ग़൛ɿलγεςϜ ࠓ·Ͱʹ͓ੈʹͳͬͨΠϕϯτ ɾ*5,FZT ݱ4FD$BQ ɾωοτϫʔΫύέοτΛಡΉձ Ծ ɾ/*4$αΠόʔϋϩΟϯ ɾ*OUFSOFU8FFL ɾ)BSEFOJOH 7BMVF$IBJO༏উ ɾTTNKQ ɾ"*4FD ɾULULηΩϡϦςΟษڧձˡ/&8
ϋχʔϙοτͱ w᠘ʹ͔͔ͬͨ߈ܸऀͷߦಈΛͭ·ͼΒ͔ʹ ͢ΔγεςϜ ߈ܸऀ͕ෆਖ਼ϩάΠϯ͢Δͱɾɾɾ
44)ϋχʔϙοτͷ؍ ྫ SSHϋχʔϙοτ(Kippo)Ͱ࠾औͨ͠ෆਖ਼ϩάΠϯޙͷܗ2 https://youtu.be/iFvLr55A5nU
ϋχʔϙολʔඞಡهࣄ w μʔΫ8FCͰͷαΠόʔ൜ࡑऀಉ࢜ͷೄுΓ૪͍ w τϨϯυϚΠΫϩηΩϡϦςΟϒϩά w IUUQCMPHUSFOENJDSPDPKQBSDIJWFT w ࣍ w
αΠόʔ൜ࡑऀΛ͓ͼ͖دͤΔϋχʔϙοτΛઃஔ w ʮσΟʔϓ8FCʯରʮද8FCʯ w μʔΫ8FC෦߅૪ w ݁ ͜ΜͳλΠτϧ͚ͭΒΕͨΒ ಡΉ͔͠ͳ͍ΑͶ
ࠓճͷςʔϚ JG ͕ࣗ͠ཧ͢Δαʔόʹ44)Ͱෆਖ਼ϩάΠϯ͞ΕͨΒɾɾɾ ͠8PSE1SFTTͷϒϩάΛվ͟Μ͞ΕͨΒɾɾɾ ͠8FCαʔόͷϩάΛௐࠪ͢Δඞཁ͕ग़͖ͯͨΒɾɾɾ
ڵຯΛҾ͍ͨϩά ࡉ͔͗ͯ͢ΘΒͳ͍44)ϋχʔϙοτฤ w 44)ϋχʔϙοτͰ߈ܸऀ͕ෆਖ਼ϩάΠϯͨ͋͠ͱ ࣮ߦͨ͠ίϚϯυΛهͰ͖Δ w ߈ܸऀʹΑͬͯૂ͍༷ʑɾɾɾ ΞΫηε੍ݶ
$αʔόԽ όοΫυΞΛࠐΉ αʔϏεఀࢭ աܹ σϞΛަ͑ͭͭհ
ΞΫηε੍ݶ w ϑΝΠΞΥʔϧ JQUBCMFT ͷઃఆΛมߋ w ߈ܸऀͷ*1ΞυϨε͔ΒUDQͷΞΫηεΛڐՄ w ͦͷଞͷUDQͷΞΫηεΛڋ൱
ˠਖ਼نͷཧऀ44)ͰϩάΠϯͰ͖ͳ͘ͳΔ ߈ܸऀͷ IP ΞυϨε
$αʔόԽ w ϘοτωοτͷߏΛ͓͓·͔ʹྨ͢Δͱ w $αʔό Ϙοτωοτͷ࢘ྩౝ w κϯϏ ϘοτωοτͷΫϥΠΞϯτͷҰ෦
˞$ɾɾɾ$$ $PNNBOEBOE$POUSPMͷུ κϯϏ κϯϏ κϯϏ $ ߈ܸର ᶅ߈ܸ ᶃࢦࣔ͘Ε ᶄ%P4߈ܸ͠Ζ
$αʔόԽ w 44)κϯϏԽ͢ΔͨΊʹ߈ܸ͞ΕΔ͜ͱ͕ଟ͍ w كʹɺ$αʔόԽΛૂͬͨϩάΠϯ͕͋Δ w QTZCOD ͍͞ͼʔ͑͵͠ʔ *3$αʔόιϑτΣΞͷ
ͭͰɺ*3$Ϙοτͷ੍ޚʹར༻͞ΕΔ߹͕͋Δ ͕ࣗཧ͍ͯ͠ΔαʔόͰɺೝ͍ͯ͠ͳ͍ϓϩηε͕ ϙʔτΛ։͚͍ͯͨΒ telnet ͯ͠ΈΔ͜ͱΛΦεεϝ͠·͢ɻ όφʔ͔Βใ͕ಘΒΕΔ͔͠Ε·ͤΜɻ
όοΫυΞΛࠐΉ w όοΫυΞɺ߈ܸऀ͕ΑΓ؆୯ʹ߈ܸରΛૢ࡞͢ ΔͨΊʹར༻͞ΕΔɻ ※OpenSSH όοΫυΞͷαϯϓϧ(sshbd5.5p1.diff ͷதͷҰ෦)
όοΫυΞΛࠐΉ w TTICEQEJ⒎ͷ༰ ػೳ w ϚελʔύεϫʔυΛՃ͢Δ w 44)ϩάΠϯ࣌ͷύεϫʔυΛอଘ͢Δ
ˠ߈ܸऀ͕͍ͭͰϩάΠϯՄೳʹͳΔ ˠϩάΠϯϢʔβͷύεϫʔυΛऔ͞ΕΔ
αʔϏεఀࢭ w ߈ܸऀʹͱͬͯअຐͳϓϩηεΛఀࢭ͢Δ͜ͱ͕͋Δ ᶃෆਖ਼ϩάΠϯ͢ΔͷҰਓ͚ͩͰͳ͍ ͔͠Εͳ͍ ᶄଞͷ߈ܸऀ͕ར༻͍ͯ͠ΔͰ͋Ζ͏ϓϩηεΛఀࢭ αΠόʔ൜ࡑऀؒͰʮ౪ਓʹਔٛ͋Γʯͷश׳ͳ͍Α͏Ͱ͢ɻ
աܹ w փᗙʹؼ͢ LJMM ˞࣮ߦ͍͚ͯ͠ͳ͍
աܹ w ͯ͢ͷϓϩηεʹ,*--γάφϧΛૹΔίϚϯυ ※kill ίϚϯυͷ man ͔ΒҾ༻
ڵຯΛҾ͍ͨϩά 8PSE1SFTT3&45"1*ฤ ϦΞϧϋχʔϙοτˠ ौ୩۠;Ε͍͋২ηϯλʔʹ݄ͯࡱӨ
ڵຯΛҾ͍ͨϩά 8PSE1SFTT3&45"1*ฤ w ݄͔Β߈ܸ͕ྲྀߦͨ͠ w 3&45"1*ͷॲཧʹෆඋ͕͋Γɺ8PSE1SFTTͷهࣄ Λվ͟Μ͞ΕΔ੬ऑੑ Ҿ༻ݩɿ8PSE1SFTTͷ੬ऑੑରࡦʹ͍ͭͯ *1"
IUUQTXXXJQBHPKQTFDVSJUZDJBESWVMXPSEQSFTTIUNM
ϋχʔϙολʔͷΈ w ੈؒͰྲྀߦ͍ͬͯΔͷʹɺͳ͔ͳ͔ϋχʔϙοτͰ ߈ܸΛݕͰ͖ͳ͍ɾɾɾ ˞ը૾Ҿ༻ݩɿ݄ॳΊͷෳͷࠃαΠτͷվ͟Μʹ͍ͭͯ·ͱΊͯΈͨ QJZPMPH IUUQEIBUFOBOFKQ,BOHP
߈ܸΛޭͤ͞Δʹஈ֊ඞཁ 8PSE1SFTTͷهࣄ*%औಘ ࢦఆͨ͠هࣄ*%ͷίϯςϯπΛվ͟Μ ˞ͨͩ͠ɺͦͦ߈ܸରͷ63-Ͱ 8PSE1SFTT͕ಈ͍͍ͯΔ͜ͱ͕લఏ ϋχʔϙοτ௨ৗɺ8PSE1SFTTͷ ใΛฦ͞ͳ͍ͷͰɺ߈ܸऀ͕ʹͨͲΓ ண͔ͳ͍ɻ ˠ8PSE1SFTTΛઃஔͯ͠ΈͨΒ˕
࣮ࡍͷ߈ܸͷྲྀΕ ˣ8PSE1SFTTͬͯΔͧ ࢲ(PPHMFCPUͰ͢ɻϖʔδΛݟ͍ͤͯͩ͘͞ɻ ࢲ(PPHMFCPUͰ͢ɻ هࣄ*%ͷҰཡΛऔಘ͠·͢ɻ QFSMϓϩάϥϜͰ͋Δ͜ͱ͕໌ɻ 1045ϝιουͰ+40/ܗࣜͷσʔλΛૹ৴ɻ ˣվ͟Μͯ͠Δͥ
վ͟Μྫ ϦϯΫʹͳ͍ͬͯΔˠ ؍ଌͨ͠ύέοτΛݩʹ ߈ܸΛ࠶ݱͯ͠ΈΔͱ ˞8PSE1SFTTͰݕূ
ϦϯΫઌͷαΠτΛௐࠪͯ͠Έͨ w ΫϨδοτΧʔυใͷൢച ͷ͍ٙͷ͋Δ αΠτ ͩͬͨɻ ˞ΞΫηε͚ͨͩ͠Ͱɺ࣮ࡍʹߪೖ͍ͯ͠ͳ͍ͨΊϑΟογϯάαΠτͳͷ͔ෆ໌
ඃঢ়گ w (PPHMFݕࡧ͢Δͱଟɺώοτͨ͠ɻ w ΞϯμʔάϥϯυϚʔέοτͷࠂͷՄೳੑ͕͋ Δ ਅِෆ໌ ɻ
8FCαʔόͷϩάௐࠪํ๏հ
8FCαʔόͷϩάௐࠪํ๏հ w ΞΫηεϩάΛௐࠪ͢Δ؆୯ͳͭͷํ๏ J-PH4DBOOFSΛ͏ HSFQGΛ͏
J-PH4DBOOFSͱ w ΣϒαΠτͷ߈ܸஹީݕग़πʔϧJ-PH4DBOOFS w IUUQTXXXJQBHPKQTFDVSJUZWVMOJ-PH4DBOOFS J-PH4DBOOFSɺΣϒαʔόͷΞΫηεϩά͔Β ߈ܸͱࢥΘΕΔࠟΛݕग़͢ΔͨΊͷπʔϧͰ͢ɻ ΣϒαΠτͷϩάΛղੳ͢Δ͜ͱͰ߈ܸͷࠟΛ ֬ೝͰ͖ɺҰ෦ͷࠟʹ͍ͭͯ߈ܸ͕ޭͨ͠Մ
ೳੑΛ֬ೝͰ͖·͢ɻ·ͨɺ44)'51αʔόͷϩ άʹରͯ͠ɺ߈ܸͱࢥΘΕΔࠟΛݕग़͢Δ͜ͱ ͕Ͱ͖·͢ɻ ˞*1"ͷ8FCαΠτ͔ΒҾ༻
J-PH4DBOOFS͍ํ ᶃ ᶄ ᶅ
J-PH4DBOOFS͍ํ w ສ݅ఔͷϩάͳΒඵͰղੳ͕ྃ͢Δ
J-PH4DBOOFSղੳ݁Ռ ྫ w ղੳ݁Ռɺ)5.-5959.-ܗࣜͰอଘՄೳ )5.-ܗࣜͷղੳ݁Ռɻ࣮ࡍ͜ͷԼʹ֤߈ܸͷղઆจɺ߈ܸͱఆͨ͠ϩάใ͕هࡌ͞Ε͍ͯΔɻ
HSFQG w J-PH4DBOOFSศརͳπʔϧ͕ͩݶք͋Δ ˠࣗͰ߈ܸͷϙΠϯτΛ·ͱΊ͓͍ͯͯҰׅݕࡧ͢Δ w HSFQͷʮGʯΦϓγϣϯɺࢦఆͨ͠ϑΝΠϧͷ ༰ʹ߹க͢ΔߦΛநग़͢Δ͜ͱ͕Ͱ͖Δɻ w ྫ BUUBDLTJHUYU
w HSFQGBUUBDLTJHUYUBDDFTT@MPH DHJGPSDF@SFEJSFDU $'*%& XQDPOpHQIQ
߈ܸͷϙΠϯτͱݴΘΕͯ·ͯ͠ɾɾɾ w ͦΜͳΈΛ͓࣋ͪͷ͋ͳͨʹɺ͏͚ͬͯͭͷॻ੶ ͕͋Γ·͢
ϋχʔϙοτ؍ه ॻ੶ w ୈষҎ߱ͷ߈ܸղઆͷ࠷ޙʹɺϩάௐࠪ࣌ͷΩʔ ϫʔυΛهࡌ͍ͯ͠·͢ɻ w ͜ΕΒͷΩʔϫʔυΛ༗ޮ׆༻͍͚ͯͨͩ͠Δͱɺ ϩάௐ͕ࠪΔͷͰͳ͍͔ͱࢥ͍·͢ɻ
·ͱΊ w 44)Ͱෆਖ਼ϩάΠϯͯ͘͠Δ߈ܸऀͷૂ͍ઍࠩສผ w JQUBCMFTʹΑΔΞΫηε੍ݶ w QTZCODΛར༻ͨ͠$αʔόԽ w 0QFO44)ͷόοΫυΞΛࠐΉ w
ଞਓͷ߈ܸπʔϧΛఀࢭͤ͞Δ w શϓϩηεఀࢭΛࢼΈΔաܹ w 8PSE1SFTT3&45"1*௨ৗͷϋχʔϙοτͰ ߈ܸΛݕ͢Δ͜ͱ͕͍͕͠ɺ߈ܸख๏Λཧղ͢Δ ͜ͱͰɺ߈ܸ௨৴Λิ͢Δ͜ͱ͕ՄೳʹͳΔɻ w ϩάௐࠪ࣌ʹʮJ-PH4DBOOFSʯʮHSFQGʯͳͲ ͷπʔϧΛ༗ޮ׆༻͠·͠ΐ͏ɻ