Archive for 11月, 2013
noexecでマウントする
/tmp や /dev/shm のような一時ディレクトリはどのユーザアカウントでも書き込めるディレクトリであることは,ご存知だと思います.誰でも書き込めるということは,Webサービスの脆弱性を突かれて不正にファイルをアップロードされたり作成されたりした場合の,ファイル置き場になることがあります.
そこでもしこれらのような不正なファイルの置き場にされてしまったときに,少しでも影響を緩和する対策として,/tmp や /dev/shm をファイルの実行を禁止するオプションを指定してマウントすることが挙げられます.ファイルの実行を禁止しておけば,たとえファイルを不正に作成されてしまったとしても,実行ができないので,データの流出や外部への攻撃を防ぐことができることが期待されます.
今回はこのマウント方法について紹介します.
ハニーポット観察記録(14)
SSH ハニーポットの Kippo で不正ログイン後のコマンド実行されたログを採取しました.侵入者がどのようなコマンド実行をしたのか動画として Youtube にアップロードしています.
SSHハニーポット(Kippo)で採取した不正ログイン後の形跡2
※一部の情報を意図的に伏せています.
ハニーポット観察記録(13)
Web ハニーポットの Glastopf で JBoss ワームの感染活動と考えられる通信を検知しました.
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //jmx-console/HtmlAdaptor on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //manager/html/upload on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //zecmd/zecmd.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //CluJaNuL/cmd.jsp?cmd=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //wstats/wstats.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //idssvc/idssvc.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //iesvc/iesvc.jsp?comment=whoami on x.x.x.x:80
2013-11-17 *:*:*,* (glastopf.glastopf) 121.78.x.x requested GET //bynazi/cmd.jsp?comment=whoami on x.x.x.x:80
※一部の情報を意図的に伏せています.
ハニーポット観察記録(12)
Dionaea で最近,流行りの「Apache Magica」を利用したと考えられる攻撃を検知しました.
Apache Magica 自体の技術的な解説は,徳丸浩さんの下記の記事が大変参考になります.
CGI版PHPに対する魔法少女アパッチマギカ攻撃を観測しました(徳丸浩の日記)
本記事では「Apache Magica」で攻撃の被害にあった場合にどうなるか,というポイントに注目し,ハニーポットで得られた攻撃の一例を紹介します.
Read the rest of this entry »