iLogScanner

IPA が公開している「ウェブサイトの攻撃兆候検出ツール iLogScanner」のオフライン版が Linux のコンソールでも利用可能とのことで試した。

パッケージ構成

.
├── 1_bin
│   ├── iLogScanner.bat        # Windows用起動スクリプト
│   ├── iLogScanner.conf       # 設定ファイル
│   ├── iLogScanner.jar        # iLogScanner本体
│   ├── iLogScanner.sh         # Linux用起動スクリプト
│   └── ini4j-0.5.2.jar        # Java API
├── 2_Document
│   ├── manual_off.pdf         # マニュアル
│   └── termsofuse_off.pdf     # 利用許諾
└── readme.txt                 # 昔のフリーウェアを彷彿とさせて懐かしい感じ

インストール

検証環境

  • CentOS Linux 7.3.1611

Java

yum -y install java-1.8.0-openjdk

iLogScanner

ダウンロードと解凍

curl -O https://www.ipa.go.jp/security/vuln/iLogScanner/app/iLogScanner.zip
yum -y unzip && unzip iLogScanner.zip -d /opt

権限付与とシンボリックリンク

chmod +x /opt/iLogScanner/1_bin/iLogScanner.sh && ln -s $_ /usr/local/bin/iLogScanner
ln -s /opt/iLogScanner/1_bin/{iLogScanner,ini4j-0.5.2}.jar /usr/local/bin/

「iLogScanner オフライン版」利用許諾を確認し、同意した上でダウンロードする。
展開方法などは要検討。

解析

access_log

iLogScanner mode=cui logtype=apache accesslog=/var/log/httpd/access_log outdir=/var/www/html/ reporttype=all level=detail

error_log

iLogScanner mode=cui logtype=apache errorlog=/var/log/httpd/error_log errorlogtype=2.4 outdir=/var/www/html/ reporttype=all level=detail

ssh

iLogScanner mode=cui logtype=ssh accesslog=/var/log/secure,/var/log/messages outdir=/var/www/html/ reporttype=all

パラメーター

パラメータ名 指定値 備考
mode guicui cui を明示的に指定しないと動作しない
logtype apacheiisiis_w3c
sshvsftpdwu-ftpd
access_log ログファイル名(フルパス) カンマ区切りで複数指定可能
error_log ログファイル名(フルパス) logtypeapache の場合のみ有効
errorlogtype 2.22.4
outdir 出力先ディレクトリ名
reporttype htmltextxmlall
level standarddetail logtype の値が apache iis iis_w3c の場合のみ有効

検出可能な項目

https://www.ipa.go.jp/security/vuln/iLogScanner/app/function.html

アクセスログ、エラーログ

  • SQLインジェクション
  • OSコマンド・インジェクション
  • ディレクトリ・トラバーサル
  • クロスサイト・スクリプティング
  • その他(IDS回避を目的とした攻撃)
  • 同一IPアドレスから同一URLに対する攻撃の可能性
  • アクセスログに記録されないSQLインジェクションの可能性
  • ウェブサーバの設定不備を狙った攻撃の可能性

認証ログ(SSH、FTP)

  • 大量のログイン失敗
  • 短時間の集中ログイン
  • 同一ファイルへの大量アクセス
  • 認証試行回数
  • 業務時間外アクセス
  • ルート昇格
  • 指定IP外からのアクセス
  • 特権アカウントでのログイン検知
  • 長時間ログインの検知
  • 匿名アカウントでのログイン検知 ゲストアカウントでのログイン検知

解析可能なログファイル

https://www.ipa.go.jp/security/vuln/iLogScanner/app/explainlog.html