Linuxで実行したコマンドのログを取る

Linux ではどんなコマンドが実行されたのか、ログを取るといい。

Sebek2 が有名。

これは Honeynet でもよく使われていて、その場合、ハッカーがどんなコマンドを実行したのか、それをログに取るのに使われる。

ログはリモートに保存される。ちょうど rsyslog のような感じ。

通信は暗号化される。デフォルトポートは 1101 番を使う。

Symantec CIDS シグネチャ文字列: Web Attack: Wordpress Arbitrary File Download

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク］
シグネチャ名: Web Attack: Wordpress Arbitrary File Download
シグネチャ ID: 27847
シグネチャサブ ID: 73094
侵入 URL: xxxxxxx.co.jp/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
侵入ペイロード URL: N/A
イベントの説明: [SID: 27847] Web Attack: Wordpress Arbitrary File Download 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: SYSTEM
イベントの種類: 侵入防止
ハッキングの種類: 0
重大度: 致命的
アプリケーション名: SYSTEM
ネットワークプロトコル: TCP
トラフィック方向: アウトバウンド
リモート IP: 54.175.85.126
リモート MAC: N/A
リモートホスト名: N/A
警告: 1
ローカルポート: 80
リモートポート: 37755

［内容］
・WordPressというブログツールの脆弱性を突いた攻撃
・不正な php ファイルを読み込ませようとしているところをブロックしたので、攻撃は失敗に終わっている。

悪意のあるアクセスなので FW で遮断するといい。

Symantec Web Attack: Exploit Kit Variant

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で現れたメッセージ。

［検出したリスク］
シグネチャ名: Web Attack: Exploit Kit Variant 6
イベントの説明: [SID: 24204] Web Attack: Exploit Kit Variant 6 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
イベントの種類: 侵入防止
重大度: 致命的
アプリケーション名: C:/PROGRAM FILES (X86)/GOOGLE/CHROME/APPLICATION/CHROME.EXE
ネットワークプロトコル: TCP
トラフィック方向: インバウンド
リモート IP: 175.126.123.160
ローカルポート: 49416
リモートポート: 80

［状況］
Google Chrome アクセスでハッキングに利用されるプログラムのダウンロードが行われたためにブロックしたというメッセージ。
Web サイトの IP アドレスが”リモートIP”に記載されている。
ファイルは遮断しているので、ダウンロードに失敗している。

特に追加の処置は不要。

Symantec Web Attack: Malicious File Download

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で現れたメッセージ。

［検出したリスク］
シグネチャ名: Web Attack: Malicious File Download 24
イベントの説明: [SID: 27892] Web Attack: Malicious File Download 24 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
イベントの種類: 侵入防止
重大度: 致命的
アプリケーション名: C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE.EXE
ネットワークプロトコル: TCP
トラフィック方向: インバウンド
リモート IP: 80.252.188.229
ローカルポート: 50805
リモートポート: 80

［状況］
Internet Explorer アクセスで悪意のあるファイルのダウンロードが行われたためにブロックしたというメッセージ。
Web サイトの IP アドレスが”リモートIP”に記載されている。
ファイルは遮断しているので、ダウンロードに失敗している。

特に追加の処置は不要。

［補足］
シグネチャ名にある 24 という数字はシグネチャに振られた番号でしょうか？検索すると 12 とか 24 とかあるみたいです。

Symantec CIDS シグネチャ - OS Attack: GNU Bash CVE-2014-6271

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で確認できたメッセージ。

［検出したリスク］
シグネチャ名：OS Attack: GNU Bash CVE-2014-6271
侵入 URL:127.0.0.1/cgi-bin/authLogin.cgi
イベントの説明:[SID: 27907] OS Attack: GNU Bash CVE-2014-6271 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: SYSTEM
イベントの種類:侵入防止
リモート IP: 113.42.244.56

［状況］
・Webサーバで、リモートから該当の攻撃を受け付けた。
・攻撃は Symantec が遮断したため、不成立。

［処置］
攻撃をしてきた IP アドレス 113.42.244.56 は ファイアーウォール で遮断。
※ IP アドレスレベルでブロックし、二度とアクセスできるようにする必要はない。


［どんな攻撃？］
CVE コード（CVE-2014-6271）で検索すればいろいろと情報は手に入るが、Bash の脆弱性を突いた攻撃。shellshock という通称が付いている。

Cygwin の Bash でもテストコマンドを試すことができて、下記のコマンドを実行して結果を見ると問題があるかどうかが分かる。

shellshock の脆弱性の確認

[/home/marumarutonton] $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

ここで、もし vulnerable というメッセージも表示されたら問題があることになる。

１．環境変数 x に '() { :;}; echo vulnerable' という値を代入している。
２．環境変数のリストの後に () という文字が含まれていると次は関数定義
３．関数定義は { 関数名; }; で記載する。関数定義の後には実行コードが続く。
４．問題のある Bash だと、x='() { :;}; echo vulnerable' で変数が代入するのではなくて、関数定義を読んでしまったり、echo vulnerable が実行コードとしてそのまま実行されてしまう。

STOP エラーの発生をイベントログで検知する

STOP エラーが発生した時のイベントログの出力例。

ソース EventLog からのイベント ID 6008 番。

システム イベントログ

ソース： EventLog
種類： エラー
イベントID： 6008
説明：
以前のシステム シャットダウン（yyyy/mm/dd hh:mm:dd）は予期されていませんでした。

ソース DrWatson からのイベント ID 4097 番。

アプリケーション イベントログ

ソース： DrWatson
種類： 情報
イベントID： 4097
説明：
アプリケーション C:\WINDOWS\system32\winlogon.exe がアプリケーション エラーを起こしました。dd/mm/yyyy HH:MM:SS xxx にエラーが発生しました。発生した例外 c00000005 アドレス 10059E07 (module name)

ソース Application Error からのイベント ID 1000 番。
※必ずしも STOP エラーとは限らない。

アプリケーション イベントログ

ソース： Application Error
種類： エラー
イベントID： 1000
説明：
エラー発生アプリケーション 、バージョン 0.0.0.0、エラー発生モジュール xxxxxx.dll、バージョン 0.0.0.0、エラー発生アドレス 0x00059e07

STOP エラーの後、タスクスケジューラサービスの起動に失敗

Windows 2003 Server で起きた問題。

STOP エラーが起きた直後で、タスクスケジューラサービスの起動に失敗したことがありました。

OS 起動時のダイアログ

タイトル：　サービス コントロール マネージャ
システム スタートアップの最中、少なカウとも 1 つのサービスまたはドライバにエラーが発生しました。詳細はイベント ビューアのイベント ログを参照してください。

よく出るメッセージです。

自動起動に設定されていて起動していないサービスをチェックしたところ、３つ起動していないものがありました。

１．Microsoft .NET Framework NGEN v4.0.30319_X86
２．Task Scheduler
３．Windows Firewall/Internet Connection Sharing (ICS)

１は他の Windows 2003 Server でも起動していないサーバがあったので特別問題ではないようです。
３は特に使わない機能だったのでこれも問題はないようです。


Task Scheduler サービスが起動していないのがおかしいです。


タスクのデータが入っているフォルダを見てみます。
C:\Windows\Tasks

タスクスケジューラのログファイル SchedLgU.Txt があります。

"タスク スケジューラ サービス"
5.2.3790.3959 (srv03_sp2_rtm.07216-1710)
        終了 yyyy/mm/dd mm:dd:ss
"タスク スケジューラ サービス" yyyy/mm/dd mm:dd:ss ** エラー **
        サービスの初期化中に問題が発生しました。。
        エラー:
        0x800706b5 : そのインターフェイスは認識されません。
"タスク スケジューラ サービス"
        終了 yyyy/mm/dd mm:dd:ss

ipconfig /all を見たら IP アドレスは設定されていて、サーバから他のマシンへの接続はできていました。

だけど、他のマシンからの接続が、ping も telnet も rdp も何も受け付けない状態となっていました。

結局手動リブートをして復旧をしました。

STOP エラーが起きて、自動リブートの後でネットワークが使えない状態で上がってくるのを見たのははじめてのことでした。

ジョブ（$~$Sys0$.job）の実行履歴

タスクスケジューラのログファイル SchedLgU.Txt  にこのようなログが表示されていた場合。

"$~$Sys0$.job" (rundll32.exe)
        開始 20xx/xx/xx mm:dd:ss
        結果: タスクは次の終了コードで完了しました: (0).

このマシンはウィルスに感染しています。

アンチウイルスで検知したかどうかの問題ではありません。

速やかにネットワークから切り離し、マシンのリプレースが必要です。

Windows マシンをリモートでアクセスする時 RDP は必ずログオフで切断すること

Windows マシンをリモートでアクセスするのに RDP を使うケース。

作業が終わったら、再接続のために×ボタンで切断したり、タイムアウトでセッションを切断することがある。

しかし、この様な場合、管理マネージャを見れば分かるが、RDPセッションはアクティブのまま残っている。

このような状態でセッションが残っていると、アクセス元マシンがハッキングされた場合に RDP セッションを再利用される心配がある。

RDP アクセスは必ずログオフで切断すること。

アンチウイルスソフトが tmp フォルダのファイルを検知したときには既にそのマシンはマルウェアに感染している

アンチウイルスソフトの管理をしていると、tmp フォルダのファイルを検知することが有ります。

［検知内容］
リスク名: Trojan.Gen.2
ファイルパス: C:\Users\ユーザー名\AppData\Local\Temp\nsp71D9.tmp
送信元: リアルタイムスキャン

リアルタイムスキャンでセーフなパターンはいくつかあるけど、例えばブラウザとか使ってファイルをダウンロード中にファイルを検知した場合はセーフですね。

でもその場合には検知ファイルのパスはこうなるはずです。
・IE のダウンロード先は既定では Download フォルダ
・Chrome のダウンロード先は既定では  C:\Users\<ユーザー名>\Downloads

Temp フォルダにファイルが作成されるケースは、既に悪意のあるプログラムが実行していて、そのプログラムが作った一時ファイルを検知するという場合があります。
今回はそのケースでした。

トロイの木馬でマシン情報を集めてインターネット上へアップロードする機能を持っているものでした。
幸い、ファイルが作成されたタイミングで削除しているので、それ以上の悪意ある行動は取れなかったようです。
すみやかにマシンを入れ替えました。