Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ハニーポッターの興味を引く攻撃事例紹介& Web サーバのログ調査方法紹介
Search
Kazuaki Morihisa
June 04, 2017
Technology
5
3.3k
ハニーポッターの興味を引く攻撃事例紹介& Web サーバのログ調査方法紹介
2017年6月4日 第3回tktkセキュリティ勉強会@高槻市立生涯学習センター発表資料
https://tktksec.connpass.com/event/52665/
Kazuaki Morihisa
June 04, 2017
Tweet
Share
More Decks by Kazuaki Morihisa
See All by Kazuaki Morihisa
まだ見ぬ攻撃を求めて
morihi_soc
1
990
ハニーポットのログを国別で傾向分析してみた
morihi_soc
1
1.9k
ハニーポットで見る攻撃の検知傾向 〜秘密のファイル〜
morihi_soc
2
1.8k
あの脆弱性は今 ~ハニーポットで追ってみた~
morihi_soc
5
3.1k
ハニーポット活用事例紹介
morihi_soc
0
1.2k
ハニーポットの育てかた
morihi_soc
0
1.2k
Satori 系ボットネット観察 Attack from Japan
morihi_soc
0
1.8k
ハニーポットと脆弱性スキャン
morihi_soc
2
1.3k
Drupalgeddon2 をハニーポットで観察してみた
morihi_soc
1
1.2k
Other Decks in Technology
See All in Technology
Amazon FSx for NetApp ONTAPを利用するにあたっての要件整理と設計のポイント
non97
1
160
大規模データ基盤チームのオンプレTiDB運用への挑戦 / dpu-tidb
cyberagentdevelopers
PRO
1
110
omakaseしないための.rubocop.yml のつくりかた / How to Build Your .rubocop.yml to Avoid Omakase #kaigionrails
linkers_tech
3
730
ユーザーの購買行動モデリングとその分析 / dsc-purchase-analysis
cyberagentdevelopers
PRO
2
100
Jr. Championsになって、強く連携しながらAWSをもっと使いたい!~AWSに対する期待と行動~
amixedcolor
0
190
ネット広告に未来はあるか?「3rd Party Cookie廃止とPrivacy Sandboxの効果検証の裏側」 / third-party-cookie-privacy
cyberagentdevelopers
PRO
1
130
使えそうで使われないCloudHSM
maikamibayashi
0
170
日経電子版におけるリアルタイムレコメンドシステム開発の事例紹介/nikkei-realtime-recommender-system
yng87
1
490
いまならこう作りたい AWSコンテナ[本格]入門ハンズオン 〜2024年版 ハンズオンの構想〜
horsewin
9
2.1k
CyberAgent 生成AI Deep Dive with Amazon Web Services / genai-aws
cyberagentdevelopers
PRO
1
480
Fargateを使った研修の話
takesection
0
110
プロダクトエンジニアが活躍する環境を作りたくて 事業責任者になった話 ~プロダクトエンジニアの行き着く先~
gimupop
1
460
Featured
See All Featured
How to Ace a Technical Interview
jacobian
275
23k
Teambox: Starting and Learning
jrom
132
8.7k
Docker and Python
trallard
40
3.1k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
43
6.6k
GitHub's CSS Performance
jonrohan
1030
460k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Writing Fast Ruby
sferik
626
61k
Learning to Love Humans: Emotional Interface Design
aarron
272
40k
A better future with KSS
kneath
238
17k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
355
29k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
27
1.9k
Visualization
eitanlees
144
15k
Transcript
݄ୈճULULηΩϡϦςΟษڧձ!ߴ௬ࢢཱੜֶ֔शηϯλʔ IUUQTULULTFDDPOOQBTTDPNFWFOU ϋχʔϙολʔͷڵຯΛҾ͘߈ܸࣄྫհ 8FCαʔόͷϩάௐࠪํ๏հ !NPSJIJ@TPD
XIPBNJ w ٱত !NPSJIJ@TPD w ຊۀηΩϡϦςΟΤϯδχΞɾΞφϦετ w झຯͰϋχʔϙοτͷӡ༻Λ͢Δϋχʔϙολʔ w
ϒϩάˠIUUQXXXNPSJIJTPDOFU ˡϒϩάͷʮϋχʔϙοτ؍هʯ͕ ຊʹͳΓ·ͨ͠ ݄ൃച ిࢠॻ੶൛ແྉࢼಡ൛͋Γ·͢ ʮαΠόʔ߈ܸͷΛੳ͢Δ ϋχʔϙοτ؍هʯ ஶऀɿٱত ग़൛ɿलγεςϜ ࠓ·Ͱʹ͓ੈʹͳͬͨΠϕϯτ ɾ*5,FZT ݱ4FD$BQ ɾωοτϫʔΫύέοτΛಡΉձ Ծ ɾ/*4$αΠόʔϋϩΟϯ ɾ*OUFSOFU8FFL ɾ)BSEFOJOH 7BMVF$IBJO༏উ ɾTTNKQ ɾ"*4FD ɾULULηΩϡϦςΟษڧձˡ/&8
ϋχʔϙοτͱ w᠘ʹ͔͔ͬͨ߈ܸऀͷߦಈΛͭ·ͼΒ͔ʹ ͢ΔγεςϜ ߈ܸऀ͕ෆਖ਼ϩάΠϯ͢Δͱɾɾɾ
44)ϋχʔϙοτͷ؍ ྫ SSHϋχʔϙοτ(Kippo)Ͱ࠾औͨ͠ෆਖ਼ϩάΠϯޙͷܗ2 https://youtu.be/iFvLr55A5nU
ϋχʔϙολʔඞಡهࣄ w μʔΫ8FCͰͷαΠόʔ൜ࡑऀಉ࢜ͷೄுΓ૪͍ w τϨϯυϚΠΫϩηΩϡϦςΟϒϩά w IUUQCMPHUSFOENJDSPDPKQBSDIJWFT w ࣍ w
αΠόʔ൜ࡑऀΛ͓ͼ͖دͤΔϋχʔϙοτΛઃஔ w ʮσΟʔϓ8FCʯରʮද8FCʯ w μʔΫ8FC෦߅૪ w ݁ ͜ΜͳλΠτϧ͚ͭΒΕͨΒ ಡΉ͔͠ͳ͍ΑͶ
ࠓճͷςʔϚ JG ͕ࣗ͠ཧ͢Δαʔόʹ44)Ͱෆਖ਼ϩάΠϯ͞ΕͨΒɾɾɾ ͠8PSE1SFTTͷϒϩάΛվ͟Μ͞ΕͨΒɾɾɾ ͠8FCαʔόͷϩάΛௐࠪ͢Δඞཁ͕ग़͖ͯͨΒɾɾɾ
ڵຯΛҾ͍ͨϩά ࡉ͔͗ͯ͢ΘΒͳ͍44)ϋχʔϙοτฤ w 44)ϋχʔϙοτͰ߈ܸऀ͕ෆਖ਼ϩάΠϯͨ͋͠ͱ ࣮ߦͨ͠ίϚϯυΛهͰ͖Δ w ߈ܸऀʹΑͬͯૂ͍༷ʑɾɾɾ ΞΫηε੍ݶ
$αʔόԽ όοΫυΞΛࠐΉ αʔϏεఀࢭ աܹ σϞΛަ͑ͭͭհ
ΞΫηε੍ݶ w ϑΝΠΞΥʔϧ JQUBCMFT ͷઃఆΛมߋ w ߈ܸऀͷ*1ΞυϨε͔ΒUDQͷΞΫηεΛڐՄ w ͦͷଞͷUDQͷΞΫηεΛڋ൱
ˠਖ਼نͷཧऀ44)ͰϩάΠϯͰ͖ͳ͘ͳΔ ߈ܸऀͷ IP ΞυϨε
$αʔόԽ w ϘοτωοτͷߏΛ͓͓·͔ʹྨ͢Δͱ w $αʔό Ϙοτωοτͷ࢘ྩౝ w κϯϏ ϘοτωοτͷΫϥΠΞϯτͷҰ෦
˞$ɾɾɾ$$ $PNNBOEBOE$POUSPMͷུ κϯϏ κϯϏ κϯϏ $ ߈ܸର ᶅ߈ܸ ᶃࢦࣔ͘Ε ᶄ%P4߈ܸ͠Ζ
$αʔόԽ w 44)κϯϏԽ͢ΔͨΊʹ߈ܸ͞ΕΔ͜ͱ͕ଟ͍ w كʹɺ$αʔόԽΛૂͬͨϩάΠϯ͕͋Δ w QTZCOD ͍͞ͼʔ͑͵͠ʔ *3$αʔόιϑτΣΞͷ
ͭͰɺ*3$Ϙοτͷ੍ޚʹར༻͞ΕΔ߹͕͋Δ ͕ࣗཧ͍ͯ͠ΔαʔόͰɺೝ͍ͯ͠ͳ͍ϓϩηε͕ ϙʔτΛ։͚͍ͯͨΒ telnet ͯ͠ΈΔ͜ͱΛΦεεϝ͠·͢ɻ όφʔ͔Βใ͕ಘΒΕΔ͔͠Ε·ͤΜɻ
όοΫυΞΛࠐΉ w όοΫυΞɺ߈ܸऀ͕ΑΓ؆୯ʹ߈ܸରΛૢ࡞͢ ΔͨΊʹར༻͞ΕΔɻ ※OpenSSH όοΫυΞͷαϯϓϧ(sshbd5.5p1.diff ͷதͷҰ෦)
όοΫυΞΛࠐΉ w TTICEQEJ⒎ͷ༰ ػೳ w ϚελʔύεϫʔυΛՃ͢Δ w 44)ϩάΠϯ࣌ͷύεϫʔυΛอଘ͢Δ
ˠ߈ܸऀ͕͍ͭͰϩάΠϯՄೳʹͳΔ ˠϩάΠϯϢʔβͷύεϫʔυΛऔ͞ΕΔ
αʔϏεఀࢭ w ߈ܸऀʹͱͬͯअຐͳϓϩηεΛఀࢭ͢Δ͜ͱ͕͋Δ ᶃෆਖ਼ϩάΠϯ͢ΔͷҰਓ͚ͩͰͳ͍ ͔͠Εͳ͍ ᶄଞͷ߈ܸऀ͕ར༻͍ͯ͠ΔͰ͋Ζ͏ϓϩηεΛఀࢭ αΠόʔ൜ࡑऀؒͰʮ౪ਓʹਔٛ͋Γʯͷश׳ͳ͍Α͏Ͱ͢ɻ
աܹ w փᗙʹؼ͢ LJMM ˞࣮ߦ͍͚ͯ͠ͳ͍
աܹ w ͯ͢ͷϓϩηεʹ,*--γάφϧΛૹΔίϚϯυ ※kill ίϚϯυͷ man ͔ΒҾ༻
ڵຯΛҾ͍ͨϩά 8PSE1SFTT3&45"1*ฤ ϦΞϧϋχʔϙοτˠ ौ୩۠;Ε͍͋২ηϯλʔʹ݄ͯࡱӨ
ڵຯΛҾ͍ͨϩά 8PSE1SFTT3&45"1*ฤ w ݄͔Β߈ܸ͕ྲྀߦͨ͠ w 3&45"1*ͷॲཧʹෆඋ͕͋Γɺ8PSE1SFTTͷهࣄ Λվ͟Μ͞ΕΔ੬ऑੑ Ҿ༻ݩɿ8PSE1SFTTͷ੬ऑੑରࡦʹ͍ͭͯ *1"
IUUQTXXXJQBHPKQTFDVSJUZDJBESWVMXPSEQSFTTIUNM
ϋχʔϙολʔͷΈ w ੈؒͰྲྀߦ͍ͬͯΔͷʹɺͳ͔ͳ͔ϋχʔϙοτͰ ߈ܸΛݕͰ͖ͳ͍ɾɾɾ ˞ը૾Ҿ༻ݩɿ݄ॳΊͷෳͷࠃαΠτͷվ͟Μʹ͍ͭͯ·ͱΊͯΈͨ QJZPMPH IUUQEIBUFOBOFKQ,BOHP
߈ܸΛޭͤ͞Δʹஈ֊ඞཁ 8PSE1SFTTͷهࣄ*%औಘ ࢦఆͨ͠هࣄ*%ͷίϯςϯπΛվ͟Μ ˞ͨͩ͠ɺͦͦ߈ܸରͷ63-Ͱ 8PSE1SFTT͕ಈ͍͍ͯΔ͜ͱ͕લఏ ϋχʔϙοτ௨ৗɺ8PSE1SFTTͷ ใΛฦ͞ͳ͍ͷͰɺ߈ܸऀ͕ʹͨͲΓ ண͔ͳ͍ɻ ˠ8PSE1SFTTΛઃஔͯ͠ΈͨΒ˕
࣮ࡍͷ߈ܸͷྲྀΕ ˣ8PSE1SFTTͬͯΔͧ ࢲ(PPHMFCPUͰ͢ɻϖʔδΛݟ͍ͤͯͩ͘͞ɻ ࢲ(PPHMFCPUͰ͢ɻ هࣄ*%ͷҰཡΛऔಘ͠·͢ɻ QFSMϓϩάϥϜͰ͋Δ͜ͱ͕໌ɻ 1045ϝιουͰ+40/ܗࣜͷσʔλΛૹ৴ɻ ˣվ͟Μͯ͠Δͥ
վ͟Μྫ ϦϯΫʹͳ͍ͬͯΔˠ ؍ଌͨ͠ύέοτΛݩʹ ߈ܸΛ࠶ݱͯ͠ΈΔͱ ˞8PSE1SFTTͰݕূ
ϦϯΫઌͷαΠτΛௐࠪͯ͠Έͨ w ΫϨδοτΧʔυใͷൢച ͷ͍ٙͷ͋Δ αΠτ ͩͬͨɻ ˞ΞΫηε͚ͨͩ͠Ͱɺ࣮ࡍʹߪೖ͍ͯ͠ͳ͍ͨΊϑΟογϯάαΠτͳͷ͔ෆ໌
ඃঢ়گ w (PPHMFݕࡧ͢Δͱଟɺώοτͨ͠ɻ w ΞϯμʔάϥϯυϚʔέοτͷࠂͷՄೳੑ͕͋ Δ ਅِෆ໌ ɻ
8FCαʔόͷϩάௐࠪํ๏հ
8FCαʔόͷϩάௐࠪํ๏հ w ΞΫηεϩάΛௐࠪ͢Δ؆୯ͳͭͷํ๏ J-PH4DBOOFSΛ͏ HSFQGΛ͏
J-PH4DBOOFSͱ w ΣϒαΠτͷ߈ܸஹީݕग़πʔϧJ-PH4DBOOFS w IUUQTXXXJQBHPKQTFDVSJUZWVMOJ-PH4DBOOFS J-PH4DBOOFSɺΣϒαʔόͷΞΫηεϩά͔Β ߈ܸͱࢥΘΕΔࠟΛݕग़͢ΔͨΊͷπʔϧͰ͢ɻ ΣϒαΠτͷϩάΛղੳ͢Δ͜ͱͰ߈ܸͷࠟΛ ֬ೝͰ͖ɺҰ෦ͷࠟʹ͍ͭͯ߈ܸ͕ޭͨ͠Մ
ೳੑΛ֬ೝͰ͖·͢ɻ·ͨɺ44)'51αʔόͷϩ άʹରͯ͠ɺ߈ܸͱࢥΘΕΔࠟΛݕग़͢Δ͜ͱ ͕Ͱ͖·͢ɻ ˞*1"ͷ8FCαΠτ͔ΒҾ༻
J-PH4DBOOFS͍ํ ᶃ ᶄ ᶅ
J-PH4DBOOFS͍ํ w ສ݅ఔͷϩάͳΒඵͰղੳ͕ྃ͢Δ
J-PH4DBOOFSղੳ݁Ռ ྫ w ղੳ݁Ռɺ)5.-5959.-ܗࣜͰอଘՄೳ )5.-ܗࣜͷղੳ݁Ռɻ࣮ࡍ͜ͷԼʹ֤߈ܸͷղઆจɺ߈ܸͱఆͨ͠ϩάใ͕هࡌ͞Ε͍ͯΔɻ
HSFQG w J-PH4DBOOFSศརͳπʔϧ͕ͩݶք͋Δ ˠࣗͰ߈ܸͷϙΠϯτΛ·ͱΊ͓͍ͯͯҰׅݕࡧ͢Δ w HSFQͷʮGʯΦϓγϣϯɺࢦఆͨ͠ϑΝΠϧͷ ༰ʹ߹க͢ΔߦΛநग़͢Δ͜ͱ͕Ͱ͖Δɻ w ྫ BUUBDLTJHUYU
w HSFQGBUUBDLTJHUYUBDDFTT@MPH DHJGPSDF@SFEJSFDU $'*%& XQDPOpHQIQ
߈ܸͷϙΠϯτͱݴΘΕͯ·ͯ͠ɾɾɾ w ͦΜͳΈΛ͓࣋ͪͷ͋ͳͨʹɺ͏͚ͬͯͭͷॻ੶ ͕͋Γ·͢
ϋχʔϙοτ؍ه ॻ੶ w ୈষҎ߱ͷ߈ܸղઆͷ࠷ޙʹɺϩάௐࠪ࣌ͷΩʔ ϫʔυΛهࡌ͍ͯ͠·͢ɻ w ͜ΕΒͷΩʔϫʔυΛ༗ޮ׆༻͍͚ͯͨͩ͠Δͱɺ ϩάௐ͕ࠪΔͷͰͳ͍͔ͱࢥ͍·͢ɻ
·ͱΊ w 44)Ͱෆਖ਼ϩάΠϯͯ͘͠Δ߈ܸऀͷૂ͍ઍࠩສผ w JQUBCMFTʹΑΔΞΫηε੍ݶ w QTZCODΛར༻ͨ͠$αʔόԽ w 0QFO44)ͷόοΫυΞΛࠐΉ w
ଞਓͷ߈ܸπʔϧΛఀࢭͤ͞Δ w શϓϩηεఀࢭΛࢼΈΔաܹ w 8PSE1SFTT3&45"1*௨ৗͷϋχʔϙοτͰ ߈ܸΛݕ͢Δ͜ͱ͕͍͕͠ɺ߈ܸख๏Λཧղ͢Δ ͜ͱͰɺ߈ܸ௨৴Λิ͢Δ͜ͱ͕ՄೳʹͳΔɻ w ϩάௐࠪ࣌ʹʮJ-PH4DBOOFSʯʮHSFQGʯͳͲ ͷπʔϧΛ༗ޮ׆༻͠·͠ΐ͏ɻ