Linuxで実行したコマンドのログを取る

Linux ではどんなコマンドが実行されたのか、ログを取るといい。 Sebek2 が有名。 これは Honeynet でもよく使われていて、その場合、ハッカーがどんなコマンドを実行したのか、それをログに取るのに使われる。 ログはリモートに保存される。ちょうど rsyslog のような感じ。 通信は暗号化される。デフォルトポートは 1101 番を使う。 (adsbygoogle = window.adsbygoogle || []).push({}...

Symantec CIDS シグネチャ文字列: Web Attack: Wordpress Arbitrary File Download

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。 ［検出したリスク］ シグネチャ名: Web Attack: Wordpress Arbitrary File Download シグネチャ ID: 27847 シグネチャサブ ID: 73094 侵入 URL: xxxxxxx.co.jp/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php 侵入ペイロード URL: N/A イベントの説明: [SID: 27847] Web Attack: Wordpress Arbitrary File Download 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: SYSTEM イベントの種類: 侵入防止 ハッキングの種類: 0 重大度:...

Symantec Web Attack: Exploit Kit Variant

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で現れたメッセージ。 ［検出したリスク］ シグネチャ名: Web Attack: Exploit Kit Variant 6 イベントの説明: [SID: 24204] Web Attack: Exploit Kit Variant 6 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE イベントの種類: 侵入防止 重大度: 致命的 アプリケーション名: C:/PROGRAM FILES (X86)/GOOGLE/CHROME/APPLICATION/CHROME.EXE ネットワークプロトコル: TCP トラフィック方向: インバウンド リモート IP: 175.126.123.160 ローカルポート:...

Symantec Web Attack: Malicious File Download

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で現れたメッセージ。 ［検出したリスク］ シグネチャ名: Web Attack: Malicious File Download 24 イベントの説明: [SID: 27892] Web Attack: Malicious File Download 24 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE イベントの種類: 侵入防止 重大度: 致命的 アプリケーション名: C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE.EXE ネットワークプロトコル: TCP トラフィック方向: インバウンド リモート IP: 80.252.188.229 ローカルポート:...

Symantec CIDS シグネチャ - OS Attack: GNU Bash CVE-2014-6271

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で確認できたメッセージ。 ［検出したリスク］ シグネチャ名：OS Attack: GNU Bash CVE-2014-6271 侵入 URL:127.0.0.1/cgi-bin/authLogin.cgi イベントの説明:[SID: 27907] OS Attack: GNU Bash CVE-2014-6271 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: SYSTEM イベントの種類:侵入防止 リモート IP: 113.42.244.56 ［状況］ ・Webサーバで、リモートから該当の攻撃を受け付けた。 ・攻撃は Symantec が遮断したため、不成立。 ［処置］ 攻撃をしてきた IP アドレス 113.42.244.56 は ファイアーウォール で遮断。 ※ IP アドレスレベルでブロックし、二度とアクセスできるようにする必要はない。 ［どんな攻撃？］ CVE...

STOP エラーの発生をイベントログで検知する

STOP エラーが発生した時のイベントログの出力例。 ソース EventLog からのイベント ID 6008 番。 システム イベントログ ソース： EventLog 種類： エラー イベントID： 6008 説明： 以前のシステム シャットダウン（yyyy/mm/dd hh:mm:dd）は予期されていませんでした。 ソース DrWatson からのイベント ID 4097 番。 アプリケーション イベントログ ソース： DrWatson 種類： 情報 イベントID： 4097 説明： アプリケーション C:\WINDOWS\system32\winlogon.exe がアプリケーション エラーを起こしました。dd/mm/yyyy HH:MM:SS xxx にエラーが発生しました。発生した例外 c00000005 アドレス 10059E07 (module name) ソース...

STOP エラーの後、タスクスケジューラサービスの起動に失敗

Windows 2003 Server で起きた問題。 STOP エラーが起きた直後で、タスクスケジューラサービスの起動に失敗したことがありました。 OS 起動時のダイアログ タイトル：　サービス コントロール マネージャ システム スタートアップの最中、少なカウとも 1 つのサービスまたはドライバにエラーが発生しました。詳細はイベント ビューアのイベント ログを参照してください。 よく出るメッセージです。 自動起動に設定されていて起動していないサービスをチェックしたところ、３つ起動していないものがありました。 １．Microsoft .NET Framework NGEN v4.0.30319_X86 ２．Task...

ジョブ（$~$Sys0$.job）の実行履歴

タスクスケジューラのログファイル SchedLgU.Txt  にこのようなログが表示されていた場合。 "$~$Sys0$.job" (rundll32.exe)         開始 20xx/xx/xx mm:dd:ss         結果: タスクは次の終了コードで完了しました: (0). このマシンはウィルスに感染しています。 アンチウイルスで検知したかどうかの問題ではありません。 速やかにネットワークから切り離し、マシンのリプレースが必要です。 (adsbygoogle = window.adsbygoogle || []).push({}...

Windows マシンをリモートでアクセスする時 RDP は必ずログオフで切断すること

Windows マシンをリモートでアクセスするのに RDP を使うケース。 作業が終わったら、再接続のために×ボタンで切断したり、タイムアウトでセッションを切断することがある。 しかし、この様な場合、管理マネージャを見れば分かるが、RDPセッションはアクティブのまま残っている。 このような状態でセッションが残っていると、アクセス元マシンがハッキングされた場合に RDP セッションを再利用される心配がある。 RDP アクセスは必ずログオフで切断すること。 (adsbygoogle = window.adsbygoogle || []).push({}...

アンチウイルスソフトが tmp フォルダのファイルを検知したときには既にそのマシンはマルウェアに感染している

アンチウイルスソフトの管理をしていると、tmp フォルダのファイルを検知することが有ります。 ［検知内容］ リスク名: Trojan.Gen.2 ファイルパス: C:\Users\ユーザー名\AppData\Local\Temp\nsp71D9.tmp 送信元: リアルタイムスキャン リアルタイムスキャンでセーフなパターンはいくつかあるけど、例えばブラウザとか使ってファイルをダウンロード中にファイルを検知した場合はセーフですね。 でもその場合には検知ファイルのパスはこうなるはずです。 ・IE のダウンロード先は既定では Download フォルダ ・Chrome のダウンロード先は既定では  C:\Users\<ユーザー名>\Downloads Temp フォルダにファイルが作成されるケースは、既に悪意のあるプログラムが実行していて、そのプログラムが作った一時ファイルを検知するという場合があります。 今回はそのケースでした。 トロイの木馬でマシン情報を集めてインターネット上へアップロードする機能を持っているものでした。 幸い、ファイルが作成されたタイミングで削除しているので、それ以上の悪意ある行動は取れなかったようです。 すみやかにマシンを入れ替えました。 (adsbygoogle...