現在地 HOME > 掲示板
> 戦争38 > 184.html
★阿修羅♪
|
現在地 HOME > 掲示板
> 戦争38 > 184.html
★阿修羅♪
|
|
(回答先: rootkitによるハッキングとその防御 第1回 rootkitの概要と検知 (1/5) 投稿者 クエスチョン 日時 2003 年 8 月 07 日 19:13:26)
IT板(戦争、破産、等と同じようにタイトルは凝らずにシンプルな方が
良い)の立ち上げを管理人さんに希望します。はっきり言って阿修羅は敵
に狙われやすい、言葉を変えれば狙われるに値するサイトだと思います。
パソコンを始めとしたスキル向上、セキュリティレベルの向上のためにも
「IT」板の立ち上げを希望します。
(◎事は緊急を要する!!)下記参照のこと。
攻撃?にあったようです。
http://www.asyura.com/0306/dispute12/msg/491.html
投稿者 エンセン 日時 2003 年 8 月 06 日 05:58:26:ieVyGVASbNhvI
(全4頁、残りは下記リンクにて参照願います。元サイトには画像の説明もあります。)
http://www.zdnet.co.jp/enterprise/0302/12/epn18.html
エンタープライズ:特集 2003/02/12 17:54:00 更新
rootkitによるハッキングとその防御
第2回 ログファイルの改ざん (1/4)
第1回では、Linuxのrootkitの中からtuxkitを取り上げ、その概要として
改ざんされたシステムコマンド一部を紹介した。今回はその続きとして改
ざんされたsyslogdと、ログファイルの改ざんなどについて見ていこう。
改ざんされたsyslogd 侵入したシステムでrootkitの組み込みに成功した
としても、そのあとの接続手段がログとして残されてしまっては、侵入者
にとっては具合が悪い。そこで、侵入者はsyslogdをトロイの木馬の
syslogdとすり替えることで、ログに特定の文字が含まれるもの(たとえ
ば特定IPアドレスからの接続やバックドアの起動など)は出力させないよ
うにしている。
tuxkitの場合は、前回のシステムコマンドの改ざんなどと同様に、
「/dev/tux/」以下にsyslogd(トロイの木馬)の設定ファイル
「/dev/tux/.log」があり、このファイルにログに出力されたくないもの
が記述されている。ここに指定されたものはトロイの木馬のsyslogdでは
ログとして記録されない。つまり、管理者がログを参照したとしても、そ
こからは侵入があったことや、バックドアの組み込みを検知されることを
逃れようとしているわけだ。
※ログファイルはどこにあるの?
syslogdによって出力されるログファイルは、「/etc/syslog.conf」設
定ファイルで確認することができる。Red Hat系のLinuxであれば、
「/var/log」ディレクトリ内にあるだろう
■syslogdの設定ファイル
dev/tux/.logを見てみよう。ここに記述された文字を含むログは、改ざ
んされたsyslogdでは出力されない。下記はデフォルトで記述されている
ものだが、/dev/tux/.logの一番上にある「24.」というのは
「24.xxx.xxx.xxx」からのアクセスはすべてログに出力させないための設
定となっている。ほかにも、ntpdとxsf(tuxkitのバックドアーsshd)の
ログが出力されないようになっている。
# cat /dev/tux/.log
24.
ntpd
xsf
■正常のsyslogdでの出力
ここでは、仮にFTPログイン時に記録されたログ(/var/log/messages)
を、通常のsyslogdと改ざんされたsyslogdで比較してみよう。
通常のログインがあった際のログには、当然ログイン情報が記録される。
ここでは正常なsyslogdを起動し、下記のように「192.168.1.3」というア
ドレスから、ユーザー「hoge」のログインと、匿名のログインを行った際
の/var/log/messagesのログを抜粋した。
〜省略〜
Dec 24 10:59:47 localhost ftpd[6101]: FTP LOGIN FROM
192.168.1.3[192.168.1.3], hoge
Dec 24 11:02:10 localhost ftpd[6101]: FTP session closed
Dec 24 02:02:18 localhost ftpd[6113]: ANONYMOUS FTP LOGIN FROM
192.168.1.3 [192.168.1.3],exampke@example.com
Dec 24 02:04:40 localhost ftpd[6113]: FTP session closed
■syslogd(トロイの木馬)での出力
次に、tuxkitに含まれるsyslogdに置き換えてsyslogを再起動したあと、
/dev/tux/.logに「192.」と記述し、同じように、192.168.1.3というアド
レスからユーザーhogeのログインと、匿名のログインを行ってみる。改ざ
んされたsyslogdでは接続記録はログには出力されず、以後
192.xxx.xxx.xxxのアドレスからのアクセスはすべて出力されなくなる。
〜省略〜
Dec 24 10:59:47 localhost ftpd[6101]: FTP LOGIN FROM 192.168.1.3[192.168.1.3],
hoge
Dec 24 11:02:10 localhost ftpd[6101]: FTP session closed
Dec 24 02:02:18 localhost ftpd[6113]: ANONYMOUS FTP LOGIN FROM 192.168.1.3
[192.168.1.3],exampke@example.com
Dec 24 02:04:40 localhost ftpd[6113]: FTP session closed
Dec 24 11:09:30 localhost kernel: Kernel logging (proc) stopped.
Dec 24 11:09:30 localhost kernel: Kernel log daemon terminating.
Dec 24 11:09:31 localhost 12月 24 11:09:31 syslog: klogd shutdown succeeded
Dec 24 11:09:31 localhost exiting on signal 15
Dec 24 11:09:31 localhost syslogd 1.3-31: restart.
Dec 24 11:09:31 localhost 12月 24 11:09:31 syslog: syslogd startup succeeded ←
改ざんされたsyslogdを起動
Dec 24 11:09:31 localhost 12月 24 11:09:31 syslog: klogd startup succeeded
再起動したあと192.168.1.3というアドレスから、ユーザーhogeのログ
インと、匿名のログインを行っているのだが、ログには出力されていない。
以後192.xxx.xxx.xxxからの接続はsyslogdでは出力されない。
題名には必ず「阿修羅さんへ」と記述してください。