★阿修羅♪ 現在地 HOME > 掲示板 > 戦争38 > 184.html
 ★阿修羅♪
次へ 前へ
rootkitによるハッキングとその防御 第2回 ログファイルの改ざん (1/4)
http://www.asyura.com/0306/war38/msg/184.html
投稿者 クエスチョン 日時 2003 年 8 月 07 日 19:22:43:WmYnAkBebEg4M

(回答先: rootkitによるハッキングとその防御 第1回 rootkitの概要と検知 (1/5) 投稿者 クエスチョン 日時 2003 年 8 月 07 日 19:13:26)

IT板(戦争、破産、等と同じようにタイトルは凝らずにシンプルな方が
良い)の立ち上げを管理人さんに希望します。はっきり言って阿修羅は敵
に狙われやすい、言葉を変えれば狙われるに値するサイトだと思います。
パソコンを始めとしたスキル向上、セキュリティレベルの向上のためにも
「IT」板の立ち上げを希望します。
(◎事は緊急を要する!!)下記参照のこと。

攻撃?にあったようです。
http://www.asyura.com/0306/dispute12/msg/491.html
投稿者 エンセン 日時 2003 年 8 月 06 日 05:58:26:ieVyGVASbNhvI


(全4頁、残りは下記リンクにて参照願います。元サイトには画像の説明もあります。)
http://www.zdnet.co.jp/enterprise/0302/12/epn18.html
エンタープライズ:特集 2003/02/12 17:54:00 更新

rootkitによるハッキングとその防御
第2回 ログファイルの改ざん (1/4)
第1回では、Linuxのrootkitの中からtuxkitを取り上げ、その概要として
改ざんされたシステムコマンド一部を紹介した。今回はその続きとして改
ざんされたsyslogdと、ログファイルの改ざんなどについて見ていこう。


改ざんされたsyslogd 侵入したシステムでrootkitの組み込みに成功した
としても、そのあとの接続手段がログとして残されてしまっては、侵入者
にとっては具合が悪い。そこで、侵入者はsyslogdをトロイの木馬の
syslogdとすり替えることで、ログに特定の文字が含まれるもの(たとえ
ば特定IPアドレスからの接続やバックドアの起動など)は出力させないよ
うにしている。

 tuxkitの場合は、前回のシステムコマンドの改ざんなどと同様に、
「/dev/tux/」以下にsyslogd(トロイの木馬)の設定ファイル
「/dev/tux/.log」があり、このファイルにログに出力されたくないもの
が記述されている。ここに指定されたものはトロイの木馬のsyslogdでは
ログとして記録されない。つまり、管理者がログを参照したとしても、そ
こからは侵入があったことや、バックドアの組み込みを検知されることを
逃れようとしているわけだ。

※ログファイルはどこにあるの?
 syslogdによって出力されるログファイルは、「/etc/syslog.conf」設
定ファイルで確認することができる。Red Hat系のLinuxであれば、
「/var/log」ディレクトリ内にあるだろう

■syslogdの設定ファイル
 dev/tux/.logを見てみよう。ここに記述された文字を含むログは、改ざ
んされたsyslogdでは出力されない。下記はデフォルトで記述されている
ものだが、/dev/tux/.logの一番上にある「24.」というのは
「24.xxx.xxx.xxx」からのアクセスはすべてログに出力させないための設
定となっている。ほかにも、ntpdとxsf(tuxkitのバックドアーsshd)の
ログが出力されないようになっている。

# cat /dev/tux/.log
24.
ntpd
xsf

■正常のsyslogdでの出力
 ここでは、仮にFTPログイン時に記録されたログ(/var/log/messages)
を、通常のsyslogdと改ざんされたsyslogdで比較してみよう。

 通常のログインがあった際のログには、当然ログイン情報が記録される。
ここでは正常なsyslogdを起動し、下記のように「192.168.1.3」というア
ドレスから、ユーザー「hoge」のログインと、匿名のログインを行った際
の/var/log/messagesのログを抜粋した。

〜省略〜 
Dec 24 10:59:47 localhost ftpd[6101]: FTP LOGIN FROM
192.168.1.3[192.168.1.3], hoge
Dec 24 11:02:10 localhost ftpd[6101]: FTP session closed
Dec 24 02:02:18 localhost ftpd[6113]: ANONYMOUS FTP LOGIN FROM
192.168.1.3 [192.168.1.3],exampke@example.com
Dec 24 02:04:40 localhost ftpd[6113]: FTP session closed


■syslogd(トロイの木馬)での出力
 次に、tuxkitに含まれるsyslogdに置き換えてsyslogを再起動したあと、
/dev/tux/.logに「192.」と記述し、同じように、192.168.1.3というアド
レスからユーザーhogeのログインと、匿名のログインを行ってみる。改ざ
んされたsyslogdでは接続記録はログには出力されず、以後
192.xxx.xxx.xxxのアドレスからのアクセスはすべて出力されなくなる。

〜省略〜
Dec 24 10:59:47 localhost ftpd[6101]: FTP LOGIN FROM 192.168.1.3[192.168.1.3],
hoge
Dec 24 11:02:10 localhost ftpd[6101]: FTP session closed
Dec 24 02:02:18 localhost ftpd[6113]: ANONYMOUS FTP LOGIN FROM 192.168.1.3
[192.168.1.3],exampke@example.com
Dec 24 02:04:40 localhost ftpd[6113]: FTP session closed 
Dec 24 11:09:30 localhost kernel: Kernel logging (proc) stopped.
Dec 24 11:09:30 localhost kernel: Kernel log daemon terminating.
Dec 24 11:09:31 localhost 12月 24 11:09:31 syslog: klogd shutdown succeeded
Dec 24 11:09:31 localhost exiting on signal 15
Dec 24 11:09:31 localhost syslogd 1.3-31: restart.
Dec 24 11:09:31 localhost 12月 24 11:09:31 syslog: syslogd startup succeeded ←
改ざんされたsyslogdを起動
Dec 24 11:09:31 localhost 12月 24 11:09:31 syslog: klogd startup succeeded


 再起動したあと192.168.1.3というアドレスから、ユーザーhogeのログ
インと、匿名のログインを行っているのだが、ログには出力されていない。
以後192.xxx.xxx.xxxからの接続はsyslogdでは出力されない。

 次へ  前へ

戦争38掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。