セキュリティ
iLogScanner

ログ解析による攻撃兆候検出ツール iLogScanner

More than 1 year has passed since last update.


iLogScanner

IPA が公開している「ウェブサイトの攻撃兆候検出ツール iLogScanner」のオフライン版が Linux のコンソールでも利用可能とのことで試した。


パッケージ構成

.

├── 1_bin
│   ├── iLogScanner.bat # Windows用起動スクリプト
│   ├── iLogScanner.conf # 設定ファイル
│   ├── iLogScanner.jar # iLogScanner本体
│   ├── iLogScanner.sh # Linux用起動スクリプト
│   └── ini4j-0.5.2.jar # Java API
├── 2_Document
│   ├── manual_off.pdf # マニュアル
│   └── termsofuse_off.pdf # 利用許諾
└── readme.txt # 昔のフリーウェアを彷彿とさせて懐かしい感じ


インストール


検証環境


  • CentOS Linux 7.3.1611


Java

yum -y install java-1.8.0-openjdk


iLogScanner


ダウンロードと解凍

curl -O https://www.ipa.go.jp/security/vuln/iLogScanner/app/iLogScanner.zip

yum -y unzip && unzip iLogScanner.zip -d /opt


権限付与とシンボリックリンク

chmod +x /opt/iLogScanner/1_bin/iLogScanner.sh && ln -s $_ /usr/local/bin/iLogScanner

ln -s /opt/iLogScanner/1_bin/{iLogScanner,ini4j-0.5.2}.jar /usr/local/bin/

「iLogScanner オフライン版」利用許諾を確認し、同意した上でダウンロードする。

展開方法などは要検討。


解析


access_log

iLogScanner mode=cui logtype=apache accesslog=/var/log/httpd/access_log outdir=/var/www/html/ reporttype=all level=detail


error_log

iLogScanner mode=cui logtype=apache errorlog=/var/log/httpd/error_log errorlogtype=2.4 outdir=/var/www/html/ reporttype=all level=detail


ssh

iLogScanner mode=cui logtype=ssh accesslog=/var/log/secure,/var/log/messages outdir=/var/www/html/ reporttype=all


パラメーター

パラメータ名
指定値
備考

mode

guicui

cui を明示的に指定しないと動作しない

logtype

apacheiisiis_w3c
sshvsftpdwu-ftpd

access_log
ログファイル名(フルパス)
カンマ区切りで複数指定可能

error_log
ログファイル名(フルパス)

logtypeapache の場合のみ有効

errorlogtype

2.22.4

outdir
出力先ディレクトリ名

reporttype

htmltextxmlall

level

standarddetail

logtype の値が apache iis iis_w3c の場合のみ有効


検出可能な項目

https://www.ipa.go.jp/security/vuln/iLogScanner/app/function.html


アクセスログ、エラーログ


  • SQLインジェクション

  • OSコマンド・インジェクション

  • ディレクトリ・トラバーサル

  • クロスサイト・スクリプティング

  • その他(IDS回避を目的とした攻撃)

  • 同一IPアドレスから同一URLに対する攻撃の可能性

  • アクセスログに記録されないSQLインジェクションの可能性

  • ウェブサーバの設定不備を狙った攻撃の可能性


認証ログ(SSH、FTP)


  • 大量のログイン失敗

  • 短時間の集中ログイン

  • 同一ファイルへの大量アクセス

  • 認証試行回数

  • 業務時間外アクセス

  • ルート昇格

  • 指定IP外からのアクセス

  • 特権アカウントでのログイン検知

  • 長時間ログインの検知

  • 匿名アカウントでのログイン検知
    ゲストアカウントでのログイン検知


解析可能なログファイル

https://www.ipa.go.jp/security/vuln/iLogScanner/app/explainlog.html