エンタープライズ:特集 2003/02/12 17:54:00 更新

rootkitによるハッキングとその防御
第2回 ログファイルの改ざん (4/4)

プレーンテキストのログファイル

 前述したように、/var/log/messagesや/var/log/secureなどのログファイルは、ログクリーナーを利用しなくとも、viなどのテキストエディタで編集できるが、ここではshroud-1.30を利用したログファイルの改ざんを見てみよう。

 下記は、ログファイル、/var/log/messagesのhogeというユーザーのftpログイン情報を消去しているが、ユーザーhogeというキーワードで消去した場合と、pidを指定して消去した場合の2通りで行っている。結果を見てみると分かると思うが、ここで使用しているログクリーナーshroud-1.30では、指定したキーワードが存在する行を削除しているだけである。このため今回のケースでは、ユーザー名のみで消去されている場合、ログファイルが改ざんされていることを察知することができる。

 また、前述したadoreやt0rnkitといったrootkitに含まれるcleaner、t0rnsbというログクリーナーも、ユーザー名のみを指定した場合は、shroud-1.30と同様の結果となる。

■/var/log/messagesの改ざん

ユーザーhogeというキーワードで削除した場合

・改ざん前の/var/log/messages 
〜省略〜
Dec 25 04:15:17 localhost ftpd[5001]: FTP LOGIN FROM 192.168.1.3 [192.168.1.3], hoge
Dec 25 04:15:41 localhost ftpd[5001]: FTP session closed
Dec 24 19:15:49 localhost ftpd[5003]: ANONYMOUS FTP LOGIN FROM 192.168.1.3 
[192.168.1.3],mozilla@
Dec 24 19:15:51 localhost ftpd[5003]: FTP session closed
〜省略〜
・ユーザーhogeというキーワードで消去
# ./shroud -p -f /var/log/messages -T hoge Wiping /var/log/messages for hoge...[1/845] done
・改ざん後の/var/log/messages 
〜省略〜
Dec 25 04:15:41 localhost ftpd[5001]: FTP session closed
↑ログイン行は削除されているが、FTP session closedの行が残っている
Dec 24 19:15:49 localhost ftpd[5003]: ANONYMOUS FTP LOGIN FROM 192.168.1.3 [192.168.1.3],mozilla@
Dec 24 19:15:51 localhost ftpd[5003]: FTP session closed
〜省略〜

pidで消去した場合

・ftpd[5001]を消去
# ./shroud -p -f /var/log/messages -T ftpd[5001] Wiping /var/log/messages for ftpd[5099]...[2/845] done
・改ざん後の/var/log/messages 
〜省略〜
Dec 24 19:15:49 localhost ftpd[5003]: ANONYMOUS FTP LOGIN FROM 192.168.1.3 [192.168.1.3],mozilla@
Dec 24 19:15:51 localhost ftpd[5003]: FTP session closed
〜省略〜

■adoreやt0rnkitなどに含まれているログクリーナー

・cleaner実行画面 
# ./cleaner
* sauber by socked [07.27.97]
* Usage: cleaner 
# ./cleaner hoge ※ユーザーhogeの情報をログから消去する
* sauber by socked [07.27.97]
*
* Cleaning logs.. This may take a bit depending on the size of the logs.
* Cleaning cron (21 lines)...0 lines removed!
* Cleaning dmesg (117 lines)...0 lines removed!
* Cleaning maillog (10 lines)...0 lines removed!
* Cleaning messages (310 lines)...10 lines removed! <改ざん
* Cleaning secure (22 lines)...6 lines removed! <改ざん
* Cleaning spooler (0 lines)...0 lines removed!
* Cleaning statistics (0 lines)...0 lines removed!
* Cleaning xferlog (0 lines)...0 lines removed!
* Alles sauber mein Meister !'Q%&@

■vanish2でのログファイルを改ざん

 cleanerにwtmp/utmp/lastlogの消去機能が備わったようなツールに「vanish2」というものがある。このツールもプレーンテキストのログファイルの改ざんでの結果は似たようなものになる。

・vanish2の実行画面 
# ./vanish2
Vanish II by Neo the Hacker
Usage: ./vanish2   
# ./vanish2 hoge www.example.com 202.221.32.24
utmp target processed.
wtmp target processed.
lastlog target processed.
Processing /var/log/messages    Last 17 bytes not zero! Can't fix checksum!
File /var/log/messages fixed
Processing /var/log/secure      Last 17 bytes not zero! Can't fix checksum!
File /var/log/secure fixed
Processing /var/log/xferlog     /var/log/xferlog not found
Processing /var/log/maillog     Last 17 bytes not zero! Can't fix checksum!
File /var/log/maillog fixed
Processing /var/log/warn        /var/log/warn not found
Processing /var/log/mail        /var/log/mail not found
Processing /var/log/httpd.access_log    /var/log/httpd.access_log not found
Processing /var/log/httpd.error_log     /var/log/httpd.error_log not found
V_A_N_I_S_H_E_D_!
Your tracks have been removed

 今回はログファイルの改ざん手段として、tuxkitに含まれるsyslogdとの置き換えや、ログクリーナーについてその概要について説明した。ログクリーナーを利用したログファイルの改ざんがどのように行われるのかという概要を知っておけば、異常に気が付いた際の参考になるだろう。

バックナンバー

第5回 kernel rootkitの概要
[2003.6.10 UP] 今回から解説する「kernel rootkit」は、ps、ls、netstatなどのコマンド類は改変せずに、Application rootkitと同じように、クラッカー側にとって必要な機能(バックドア、ファイル・プロセスの隠蔽など)を提供するものだ。このためApplication rootkitに比べて管理者からの発見を逃れられる可能性が高い。その概要について解説しよう。

第4回 rootkitを利用した侵入
[2003.3.28 UP]  kernel rootkitの解説に移る前に、今回はクラッカーがシステムに侵入し、rootkitをインストールするまでの流れを見ながら、一般的なクラッカーがどのようにしてシステムに侵入し、なぜrootkitを用いるのかについて考えてみよう。

第3回 rootkit検出ツールによる検査
[2003.3.11 UP] これまではrootkitの概要について実例を出して説明してきたが、今回はrootkitの検出ツールを利用して、rootkitのインストールされたシステムから、rootkitを洗い出す作業を行ってみよう。

第2回 ログファイルの改ざん
[2003.2.12 UP] 第1回では、Linuxのrootkitの中からtuxkitを取り上げ、その概要として改ざんされたシステムコマンド一部を紹介した。今回はその続きとして改ざんされたsyslogdと、ログファイルの改ざんなどについて見ていこう。

第1回 rootkitの概要と検知
[2003.1.15 UP] システムをクラックする手段として「rootkit」というツールが存在する。ほとんどのrootkitはインストーラー形式になっており、簡単かつ短時間で改ざん作業を完了できるようになっている。攻撃者が利用するrootkitについて、その概要を知るとともに、防御方法について考えていこう。

前のページ | 1 2 3 4 |      

[TTS,ITmedia]