投稿日:2003年05月01日 作成鷹の巣

No.9889 生ログファイル解析で、脆弱性を見つける方法は?



生ログファイル解析で、脆弱性を見つける方法は?

No.9889 投稿時間:2003年05月01日(Thu) 16:39 投稿者名:うどんこ URL:

下記は生ログデータで、不正アクセスだと思われるものです。
404という番号は要求されたファイルがないということを表すということ、直接Cドライブの中身を見に行こうとした、
ということはサイトで調べて分かりましたが、下記のように収集したログファイルを見て、どうやって脆弱性を見つけ
たりどのポートが狙われているかを発見したりできるのかが分かりません。
解析方法または解析方法が載っているサイトをご存知でしたら教えてください。

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2002-10-03 00:01:05
#Fields: date time c-ip cs-username s-sitename cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status cs(User-Agent) cs(Referer)
2002-10-03 00:06:39 61.11.232.69 - W3SVC1 GET /scripts/winnt/system32/cmd.exe /c+dir 404 3 - -
2002-10-03 00:06:42 61.11.232.69 - W3SVC1 GET /winnt/system32/cmd.exe /c+dir 404 3 - -
2002-10-03 00:06:45 61.11.232.69 - W3SVC1 GET /winnt/system32/cmd.exe /c+dir 404 3 - -
2002-10-03 00:06:47 61.11.232.69 - W3SVC1 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 0 - -


200ってOKでした?

No.9890 投稿時間:2003年05月01日(Thu) 17:32 投稿者名:wallabyss URL:http://www.kolinahr.net/

こんにちわ。解析方法ではないのですが、

Linuxなのであまり注意して見た事がないんですけど、
>http://www.jpcert.or.jp/at/2001/at010023.txt
80番ポート (HTTP) へのスキャンの増加に関する注意喚起

>これらのアクセスが全てエラーで終了しているか確認してください。エラーで
>終了している場合は 404 というコードが Web サーバのログに記録されます。
と書かれていますけど、200ってOKでした?


IISでは、ディレクトリの構造(相対パスも含める)を変更出来ないのでしょうか?

No.9894 投稿時間:2003年05月02日(Fri) 00:18 投稿者名:鷹の巣 URL:http://sakaguch.com/

>> 2002-10-03 00:06:47 61.11.232.69 - W3SVC1 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 0 - -

> と書かれていますけど、200ってOKでした?

IISでは、ドキュメントルートをDドライブに変更したり、cgi-binに相当するscriptsフォルダ名を変更したり、
ディレクトリの構造(相対パスも含める)を変更したりは、出来ないのでしょうか?

そうすれば、機械的なアクセスは、全て404になるのですけど。


はい、200は「正常終了」ってことみたいです。

No.9898 投稿時間:2003年05月02日(Fri) 09:04 投稿者名:うどんこ URL:

> こんにちわ。解析方法ではないのですが、
>
> Linuxなのであまり注意して見た事がないんですけど、
> >http://www.jpcert.or.jp/at/2001/at010023.txt
> 80番ポート (HTTP) へのスキャンの増加に関する注意喚起
>
> >これらのアクセスが全てエラーで終了しているか確認してください。エラーで
> >終了している場合は 404 というコードが Web サーバのログに記録されます。
> と書かれていますけど、200ってOKでした?

はい、200は「正常終了」ってことみたいです。


ログを見て脆弱性を見つけたときにはすでに進入されている。

No.9906 投稿時間:2003年05月02日(Fri) 14:23 投稿者名:wallabyss URL:http://www.kolinahr.net/

うどんこさん、こんにちわ。
私的には、httpdのログを見るのは趣味でしかないので、analogやwebalizeアクセス解析しか知らないです。あまりセキュリティに関係ないツールですが。
どのポートが狙われているのかは、MS IISなら通常80ですよね。ログを見て脆弱性を見つけたときにはすでに進入されているので手遅れのような気がしませんか?


OSのクリーンインストールを行なって下さい。

No.9912 投稿時間:2003年05月02日(Fri) 15:37 投稿者名:鷹の巣 URL:http://sakaguch.com/

> はい、200は「正常終了」ってことみたいです。

2002-10-03 00:06:47 61.11.232.69 - W3SVC1 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 0 - -

ここで、200(正常終了)となっていますと、Webサーバー(IIS)から、コマンドプロンプト画面(cmd.exe)を通して、
dirコマンド(ファイルやフォルダの一覧の表示コマンド)が正常に実行されたということを示しています。

***これだけでは、断定できませんが、浸入されたと判断する方が無難です。***
今すぐ、インターネットから、PC機を切断(LANケーブルを抜く)して、stand aloneにし、
ハードディスクをフォーマットし、OSのクリーンインストールを行なって下さい。

IISのフォルダ配置が変えれない場合は、C:/winnt/system32/というフォルダを例えば、
C:/windows2000/system32/というフォルダ名に変更して、システム環境変数Pathを変更して下さい。

デスクトップ上の「マイ コンピュータ」アイコンを右クリックし、「プロパティ」を右クリックし、「詳細」タブをクリックし、
環境変数ボタンを押すと、変更できます。以下の様な画面から行います。
http://sakaguch.com/SetWin2Ksys.html

ここで、書いていることが理解しにくい様でしたら、もう少しセキュリティ関係のことを勉強してから、
自宅サーバーを公開して下さい。
再起動の頻度が多くても、windows Updateは、自動的に無差別に行なって下さい。


不審なパケットの検知・記録をするIDS等を導入する事もお薦めです。

No.9911 投稿時間:2003年05月02日(Fri) 15:19 投稿者名:天城李 URL:

httpdのログではどのポートが狙われているかをしる事は残念ながらできません。
これはhttpdが収集できる情報だからです。
>下記のように収集したログファイルを見て、どうやって脆弱性を見つけ
>たりどのポートが狙われているかを発見したりできるのかが分かりません。

この願望をかなえるには、サーバーに届く全てのパケットを解析する方法があります。
一般的なTCP/IPパケットには大雑把に言うと送信元のIPアドレス,送信元ポート,送信したデータ,
宛先のIPアドレス,宛先ポートが含まれます。

パケットを解析する方法としましては下記サイトを参照して下さい。
http://www.space-peace.com/ethereal/


また、パケットに含まれるデータを解析し、不審なパケットの検知・記録をするIDS等を導入する事もお薦めです。
製品的には、BlackICE系の物が出ています。


|目次|掲示板|過去ログ目次|▲頁先頭|