初めに
IPAがフリーで公開しているウェブサイトの攻撃兆候検出ツール iLogScannerの紹介です。
ウェブサーバのアクセスログから攻撃と思われる痕跡を検出するためのツールです。
ApacheやIIS等のログ解析が可能です。
設定や利用が簡単なため、一度利用してみたいと思います。
↓HP
https://www.ipa.go.jp/security/vuln/ilogscanner/index.html
利用環境
・Windows 11
・JDK 11以上
・GUI版を利用。 ※CUI版もあります。
設定方法
1.以下のサイトからダウンロードします。
2.ダウンロードしたファイル「iLogScanner.zip」を解凍して任意の場所に保存。
ここではC:\iLogScannerといます
起動方法
・bin\iLogScanner.bat を実行します。
※ 実行できない場合
ファイルを右クリックしてプロパティからセキュリティを「許可する」にチェック、適用をクリック。
起動するとメイン画面が表示されます。
利用方法
1.解析するログを指定
2.結果ファイルを保存するフォルダを指定
3.解析開始をクリック
★結果が表示されます
攻撃があったと思われる場合、件数等のメッセージが表示されます。
詳細確認のため、作成されたファイルを開きましょう
※スクロールが長いので途中で切れています。
今回のサンプルではSQLインジェクションの形跡があったようです
同ファイルの下部には対象のログも表示されています
ログを見ると「 user_id=aa&password=aa 」となっていますね。
※注意
検証のため、自端末で簡易ログインフォームを作り、SQLインジェクションしました。
そのため、アクセス元がローカルIPです。
もし、痕跡があった場合はアドバイスに沿った対策を行いましょう。
最後に
今回はIPAのツール、iLogScannerを試しました。
上手に利用するとWebサーバのセキュリティ対策に役立つでしょう。
Windows,Linuxで利用でき
CUI版もあるため、cronで定期的に実行したりも良さそうです。