iLogScanner
IPA が公開している「ウェブサイトの攻撃兆候検出ツール iLogScanner」のオフライン版が Linux のコンソールでも利用可能とのことで試した。
パッケージ構成
.
├── 1_bin
│ ├── iLogScanner.bat # Windows用起動スクリプト
│ ├── iLogScanner.conf # 設定ファイル
│ ├── iLogScanner.jar # iLogScanner本体
│ ├── iLogScanner.sh # Linux用起動スクリプト
│ └── ini4j-0.5.2.jar # Java API
├── 2_Document
│ ├── manual_off.pdf # マニュアル
│ └── termsofuse_off.pdf # 利用許諾
└── readme.txt # 昔のフリーウェアを彷彿とさせて懐かしい感じ
インストール
検証環境
- CentOS Linux 7.3.1611
Java
yum -y install java-1.8.0-openjdk
iLogScanner
ダウンロードと解凍
curl -O https://www.ipa.go.jp/security/vuln/iLogScanner/app/iLogScanner.zip
yum -y unzip && unzip iLogScanner.zip -d /opt
権限付与とシンボリックリンク
chmod +x /opt/iLogScanner/1_bin/iLogScanner.sh && ln -s $_ /usr/local/bin/iLogScanner
ln -s /opt/iLogScanner/1_bin/{iLogScanner,ini4j-0.5.2}.jar /usr/local/bin/
「iLogScanner オフライン版」利用許諾を確認し、同意した上でダウンロードする。
展開方法などは要検討。
解析
access_log
iLogScanner mode=cui logtype=apache accesslog=/var/log/httpd/access_log outdir=/var/www/html/ reporttype=all level=detail
error_log
iLogScanner mode=cui logtype=apache errorlog=/var/log/httpd/error_log errorlogtype=2.4 outdir=/var/www/html/ reporttype=all level=detail
ssh
iLogScanner mode=cui logtype=ssh accesslog=/var/log/secure,/var/log/messages outdir=/var/www/html/ reporttype=all
パラメーター
| パラメータ名 | 指定値 | 備考 |
|---|---|---|
mode |
gui|cui
|
cui を明示的に指定しないと動作しない |
logtype |
apache|iis|iis_w3c|ssh|vsftpd|wu-ftpd
|
|
access_log |
ログファイル名(フルパス) | カンマ区切りで複数指定可能 |
error_log |
ログファイル名(フルパス) |
logtype が apache の場合のみ有効 |
errorlogtype |
2.2|2.4
|
|
outdir |
出力先ディレクトリ名 | |
reporttype |
html|text|xml|all
|
|
level |
standard|detail
|
logtype の値が apache iis iis_w3c の場合のみ有効 |
検出可能な項目
アクセスログ、エラーログ
- SQLインジェクション
- OSコマンド・インジェクション
- ディレクトリ・トラバーサル
- クロスサイト・スクリプティング
- その他(IDS回避を目的とした攻撃)
- 同一IPアドレスから同一URLに対する攻撃の可能性
- アクセスログに記録されないSQLインジェクションの可能性
- ウェブサーバの設定不備を狙った攻撃の可能性
認証ログ(SSH、FTP)
- 大量のログイン失敗
- 短時間の集中ログイン
- 同一ファイルへの大量アクセス
- 認証試行回数
- 業務時間外アクセス
- ルート昇格
- 指定IP外からのアクセス
- 特権アカウントでのログイン検知
- 長時間ログインの検知
- 匿名アカウントでのログイン検知 ゲストアカウントでのログイン検知