〜初級セキュリティ管理者必見〜
連載:不正侵入の手口と対策
第6回 アクセスログの改ざんと検出方法
三井物産GTI (現:三井物産セキュアディレクション株式会社)
木村 靖
2003/2/22
| ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 |
前回「第5回 バックドアの検出と対処」はバックドアの検出と対処方法について説明した。最終回の今回は、攻撃者が侵入後に行うアクセスログの改ざんとその検出方法、さらにはログの調査方法について説明する。
|
ログの重要性 |
実際にサーバを運用管理する者なら、OSや各種ソフトウェアが出力するログの重要性は身に染みて分かっていることだろう。なぜなら、ログからはサーバを運用管理するうえで必要となるさまざまな情報が得られるからだ。
例えば、ほとんどのソフトウェアは、何らかの異常を検知した場合にその症状をログに出力する。サーバ管理者は出力されたエラーログを参照することで、症状に応じた対処を迅速かつ的確に行える。また、アクセス状況のログなどを調査することで、前回紹介した不正アクセスを許した際の原因究明にも役立つ。
|
ログの種類と用途 |
通常、UNIXのシステムログは、表1に示すとおり、出力されるメッセージの内容や用途に応じて、別々のファイルに記録される。そして、これらのログの大半は、syslogと呼ばれるログシステムによって制御・出力されている。
|
||||||||||||||||||||||||||||||||||||
| 表1 UNIXにおける主要なログ |
UNIX上の多くのソフトウェアは、ログの出力をこのsyslogにまかせているが、中にはApacheのように自分自身で出力する場合もある。
|
ログの改ざんと検出 |
攻撃者が対象サーバ上のログから自身の痕跡を消すためには、ログファイルそのものを削除するか、あるいは一部を改ざんすることになる。前者の場合はサーバ管理者に気付かれる可能性が高くなるので、通常は後者の攻撃者自身に関する痕跡のみ改ざんするだろう。
攻撃者がよく改ざんするログとしては、以下のアクセスログとコマンド実行ログが挙げられる。
|
●アクセスログ(utmp、wtmp、lastlogなど)の改ざん |
| ●コマンド実行履歴(.history、.sh_history、.bash_historyなど)の改ざん |
 |
攻撃者がアクセスした痕跡は、先述のlastlog、utmp、wtmpを筆頭に、そのほか各種ログにも残される。それらのアクセス履歴を改ざんする場合は、コマンドやテキストエディタやを使うか、改ざん専用ツールを使うことになる。ここでは、grep、sedコマンドと専用ツールのZapを用いた改ざん手法について説明する。
なお、grepおよびsedは、GNU grep 2.5.1とsed 3.02を使用した。種類やバージョンによるオプションの違いは、manコマンドで確認するとよい。
●grep、sedコマンドを用いた例
この手法は非常にシンプルで、grepコマンドで指定した特定文字列(正規表現)にマッチした行をログファイルから削除するというものだ。例えば、ログファイルの/var/log/messagesからkimuの文字列にマッチする行をすべて削除するには、以下のとおり実行すればよい。
# grep -v kimu /var/log/messages
> /tmp/messages |
grepの-vオプションは、パターンにマッチした以外の行を出力する。すなわち、上記は文字列kimuが含まれない行のみを/tmp/messagesに出力している。そして、mvコマンドでログを改ざん後のものにし、chmodコマンドで元のアクセス権限に戻している。
grepで行ったことを、sed(ストリームエディタ)でも同様に行える。
# sed -e '/kimu/d' /var/log/messages
> /tmp/messages |
後はgrepと同様に、mvとchmodで元のファイルと置き換えればよい。また、行を削除するのではなく、文字列をkimuからrootに置換したい場合は、以下のとおりに行う。
# sed -e 's/kimu/root/g'
/var/log/messages > /tmp/messages |
●Zapを用いた例
いくつかあるログ改ざんツールの中でも有名なのがZapだ。このツールはlastlog、utmp、wtmpから特定ユーザーの痕跡を消してくれる。
(1)パスの変更
C言語で書かれたZapのソースコード(zap2.c)を入手し、テキストエディタを用いて以下のとおり各ログファイルへのパスを変更する。
| 変更前: | |
|
| 変更後: | |
|
(2)Zapのコンパイル
GNU Cコンパイラのgccを使い、zap2.cから実行形式のファイル(ここではzap)を生成する。
# gcc -o zap zap2.c |
(3)zapを使う
生成したzapを使うには、root権限で以下の形式で実行するだけだ。
# ./zap ユーザー名 |
実際に実行する前に、まずログイン履歴を見ておく。以下はlastとlastlogコマンドの実行結果だ。
# last
# lastlogkimu pts/2 172.16.0.10 Sun Feb 16 20:21:28
+0900 2003 |
このうち、ユーザーkimuのアクセス履歴の消去を行う。
# ./zap kimu |
消去完了。もう一度last、lastlogコマンドを実行して確認してみる。
# last |
ユーザーkimuのログインの履歴が消去された(lastlogの場合、「**Never loggedin**」を表示)。
|
UNIXシステムのインタプリタであるシェルの中には、ユーザーが実行したコマンドを記録するという、ヒストリ機能がある。このヒストリ機能を使うことで、ユーザーは一度実行したコマンドを再び呼び出して使うことができる。
これは、通常のユーザーが使う場合は便利な機能だが、攻撃者からすると自分が実行した不正なコマンドが記録されるわけだから、あまりうれしくない機能だ。そのため、多くの攻撃者は、もしヒストリ機能が使われていた場合は、消去するか改ざんするなどの処置を取るだろう。
ヒストリ機能の保存時のファイル名は、以下のとおり使うシェルによって多少異なるが、格納先は各ユーザーのホームディレクトリ直下にテキストファイルとして保存される。
|
●csh、tcshの場合: .history |
| ●bashの場合: .bash_history |
| ●kshの場合: .sh_history |
各ヒストリファイルは、以下に示すような単なるテキストファイルとして保存されているので、内容を改ざんする場合は、viなどのテキストエディタを使うことになる。
| .bash_historyの出力例: | |
|
|
ログファイルの改ざんを検出するのは非常に困難だが、一部のアクセスログに関しては、前回紹介したchkrootkitにも含まれているchklastlogやchkwtmpを使うことで検出できる場合もある。以下はchkwtmpを使用して、/var/log/wtmpの改ざんを検出した様子だ。
# ./chkwtmp |
上記の出力結果は、2003年2月16日20時20分54秒から20時21分32秒の間に1行改ざんされたことを示している(先述のZapの改ざんを検出)。
以上のとおり、ログは比較的簡単に改ざん可能であることが分かる。もし、対象サーバ上のログを消されたり、改ざんされたくないのであれば、別のサーバ(ログ収集専用サーバが望ましい)に転送することを検討してみてはどうだろうか。もちろんのこと、ログサーバ自身のセキュリティは十分に確保されている必要がある。
|
手動によるログ調査 |
冒頭でも述べたが、ログはサーバを運用管理する上で非常に重要な情報源となり得る。そのため、サーバ管理者としては、緊急時の対処を迅速かつ的確に行えるように、普段からログの調査に慣れておくことをお勧めする。
|
(1) wコマンド (現在ログイン中のユーザー情報を表示)
wコマンドで現在ログイン中のユーザー情報を表示することできる。類似コマンドとしてwhoコマンドが挙げられる。なお、このwコマンドは、utmpから情報を得ている。
% w |
現在ログイン中のユーザーkimu、y-kimura、rootのそれぞれの状況が分かる。
(2)lastコマンド (ログイン履歴)
lastコマンドで過去にログインしたユーザーやOS再起動の履歴が分かる。なお、lastコマンドは、wtmpから情報を得ている。
| 例:すべてのログイン履歴を表示 | |
|
| 例:最後にログインしたユーザーから3行分のみを表示 | |
|
| 例:ユーザーkimuのログイン履歴を調べる。 | |
|
(3)lastlog (各ユーザーの最終ログイン日時を表示)
lastlog(lastlogin)コマンドで、各ユーザーの最終ログイン日時を表示する。
| 例:全ユーザーの情報を表示 | |
|
| 例:ユーザーkimuの情報のみ表示 | |
|
| 例:過去1日にアクセスしたユーザーのみ表示 | |
|
|
UNIX上のシステムログや多くのソフトウェアが出力するログは、そのほとんどがsyslogを経由している。そして、それらのログの出力形式は、以下のようなテキストファイルとして出力される。
| syslogの出力形式 |
| 月 日 時:分:秒 ホスト名 プロセス名[プロセスID]:メッセージ |
| syslogの出力例: | |
|
こういったテキスト形式のログファイルを調査する場合は、less、tail、grepといった既存のコマンドを用いるとよいだろう。
(1)cat、more、less (ファイルの内容表示)
ログファイルの内容を先頭から順に読みたい場合は、cat、more、lessといったコマンドを使えばよい。特にmoreやlessは、文字の検索機能やページ単位で表示可能なためとても重宝する。
# less /var/log/messages…… 省略 …… |
(2)tail (ログファイルの随時参照)
tailはファイルの最後の部分を表示するコマンドで、ログの出力をターミナルなどに随時表示させることも可能だ。
| 例:/var/log/messagesの最後から3行を表示 | |
|
| 例:/var/log/messagesに出力される内容を随時表示(-fオプション) | |
|
コマンド実行後、/var/log/messagesに出力された内容が、ターミナルに随時出力される。なお、ここでは紹介しないがtailコマンドとは逆にファイルの最初の部分を表示するコマンドとしてhead(ファイルの先頭部分を表示)が挙げられる。
(3)grep (文字列にマッチした行を表示)
先述のとおり、grepは指定した文字列(正規表現)にマッチした行を表示させるためのコマンドだ。このgrepを使うことで、膨大なログファイルから、特定文字が含まれる行のみを取り出すことができる。
| 例:/var/log/messagesよりnamedという文字列が含まれる行を表示 | |
|
次ページでは、ログの改ざんを監視するツールを紹介する。
「ログ監視ツール
〜 LogWatch」 |
 |
「連載 不正侵入の手口と対策」 |
| index | |
| 第1回 攻撃者側から見た侵入前の事前調査(下見) |
| 第2回 攻撃者に有用な情報を与えない対策法 |
| 第3回 侵入者の攻撃手法とその対策 |
| 第4回 攻撃者が侵入後に行うバックドアの設置例 |
| 第5回 バックドアの検出と対処 | |
| 第6回 アクセスログの改ざんと検出方法 | |
 |
ログの重要性 ログの種類と用途 ログの改ざんと検出 手動によるログ調査 |
| ログ監視ツール 〜 LogWatch | |
| 関連記事 | |
| 連載:Webアプリケーションに潜むセキュリティホール | |
| 特集:クロスサイトスクリプティング対策の基本 | |
| 連載:インシデントレスポンスはじめの一歩〜rootkitを検出するために |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。