ハニーポットのアクセスログからOSコマンドインジェクションを調べます。
2月のハニーポットのログからOSコマンドインジェクションを見てみたいと思います。
OSコマンドはいくつかありますが、今回は検索してみて見つけたコマンドインジェクションを調べていきます。
ログファイルからOSコマンドの文字列を検索していきます。
単純にcmdと文字列を入れている部分を抜き取ってみます。
下記のようなコマンドで検索に引っ掛かれば該当文字列がハイライトで表示されます。
結果:
cmd=の後にrm+-rf/tmp/*;wget--
と、ありますがサイトの情報をとってそのログを消すコマンドをしていますね。
wgetで情報を盗み、rm+-rf+/tmp/*;でtmpディレクトリのファイルを全て消去しようとしています。
tmpディレクトリにはログファイルがあるのでそれを消そうとしているのですね。
この操作ではログのみ消去させていますが、ファイル全体に対して消去すればシステムが壊れます。
実際にコマンドを使うとファイルを一つずつ消去していくので、だんだん動きがおかしくなり、動かなくなりシステムが崩壊します。
徐々にシステムが壊れていくのでバルスコマンドという人もいますねw
昔のLinux系OSであれば、このコマンドが普通に通るので、やらかす人もいたのですが最近はこのコマンドも権限与えないと使えなかったりするので簡単にバルスできないです。
比較的新しい環境であれば・・・
余談が多くなりましたが、このバルスコマンドもとい「rm+-rf」系は2月のログの中で何回あるか調べます。
削除コマンドの集計
grep -c 'rm+-rf' access_log.txt
> 56
56回ありました。
1ヶ月に結構な頻度おこなわれています。
1日2回程度行われているようです。
今回はログの中からOSコマンドインジェクションを探ってみました。
ログから「rm+-rf」のコマンドを見つけ、サイト情報を盗み、ログを消去しようとしていることが確認しました。
参考文献