エンタープライズ:特集 | 2003/02/12 17:54:00 更新 |
rootkitによるハッキングとその防御
第2回 ログファイルの改ざん (4/4)
プレーンテキストのログファイル
前述したように、/var/log/messagesや/var/log/secureなどのログファイルは、ログクリーナーを利用しなくとも、viなどのテキストエディタで編集できるが、ここではshroud-1.30を利用したログファイルの改ざんを見てみよう。
下記は、ログファイル、/var/log/messagesのhogeというユーザーのftpログイン情報を消去しているが、ユーザーhogeというキーワードで消去した場合と、pidを指定して消去した場合の2通りで行っている。結果を見てみると分かると思うが、ここで使用しているログクリーナーshroud-1.30では、指定したキーワードが存在する行を削除しているだけである。このため今回のケースでは、ユーザー名のみで消去されている場合、ログファイルが改ざんされていることを察知することができる。
また、前述したadoreやt0rnkitといったrootkitに含まれるcleaner、t0rnsbというログクリーナーも、ユーザー名のみを指定した場合は、shroud-1.30と同様の結果となる。
■/var/log/messagesの改ざんユーザーhogeというキーワードで削除した場合
・改ざん前の/var/log/messages
〜省略〜 Dec 25 04:15:17 localhost ftpd[5001]: FTP LOGIN FROM 192.168.1.3 [192.168.1.3], hoge Dec 25 04:15:41 localhost ftpd[5001]: FTP session closed Dec 24 19:15:49 localhost ftpd[5003]: ANONYMOUS FTP LOGIN FROM 192.168.1.3 [192.168.1.3],mozilla@ Dec 24 19:15:51 localhost ftpd[5003]: FTP session closed 〜省略〜 |
# ./shroud -p -f /var/log/messages -T hoge Wiping /var/log/messages for hoge...[1/845] done |
〜省略〜 Dec 25 04:15:41 localhost ftpd[5001]: FTP session closed ↑ログイン行は削除されているが、FTP session closedの行が残っている Dec 24 19:15:49 localhost ftpd[5003]: ANONYMOUS FTP LOGIN FROM 192.168.1.3 [192.168.1.3],mozilla@ Dec 24 19:15:51 localhost ftpd[5003]: FTP session closed 〜省略〜 |
pidで消去した場合
・ftpd[5001]を消去
# ./shroud -p -f /var/log/messages -T ftpd[5001] Wiping /var/log/messages for ftpd[5099]...[2/845] done |
〜省略〜 Dec 24 19:15:49 localhost ftpd[5003]: ANONYMOUS FTP LOGIN FROM 192.168.1.3 [192.168.1.3],mozilla@ Dec 24 19:15:51 localhost ftpd[5003]: FTP session closed 〜省略〜 |
■adoreやt0rnkitなどに含まれているログクリーナー
・cleaner実行画面
# ./cleaner * sauber by socked [07.27.97] * Usage: cleaner |
■vanish2でのログファイルを改ざん
cleanerにwtmp/utmp/lastlogの消去機能が備わったようなツールに「vanish2」というものがある。このツールもプレーンテキストのログファイルの改ざんでの結果は似たようなものになる。
・vanish2の実行画面# ./vanish2 Vanish II by Neo the Hacker Usage: ./vanish2 |
今回はログファイルの改ざん手段として、tuxkitに含まれるsyslogdとの置き換えや、ログクリーナーについてその概要について説明した。ログクリーナーを利用したログファイルの改ざんがどのように行われるのかという概要を知っておけば、異常に気が付いた際の参考になるだろう。
バックナンバー
第5回 kernel rootkitの概要
[2003.6.10 UP]
今回から解説する「kernel rootkit」は、ps、ls、netstatなどのコマンド類は改変せずに、Application rootkitと同じように、クラッカー側にとって必要な機能(バックドア、ファイル・プロセスの隠蔽など)を提供するものだ。このためApplication rootkitに比べて管理者からの発見を逃れられる可能性が高い。その概要について解説しよう。
第4回 rootkitを利用した侵入
[2003.3.28 UP]
kernel rootkitの解説に移る前に、今回はクラッカーがシステムに侵入し、rootkitをインストールするまでの流れを見ながら、一般的なクラッカーがどのようにしてシステムに侵入し、なぜrootkitを用いるのかについて考えてみよう。
第3回 rootkit検出ツールによる検査
[2003.3.11 UP]
これまではrootkitの概要について実例を出して説明してきたが、今回はrootkitの検出ツールを利用して、rootkitのインストールされたシステムから、rootkitを洗い出す作業を行ってみよう。
第2回 ログファイルの改ざん
[2003.2.12 UP]
第1回では、Linuxのrootkitの中からtuxkitを取り上げ、その概要として改ざんされたシステムコマンド一部を紹介した。今回はその続きとして改ざんされたsyslogdと、ログファイルの改ざんなどについて見ていこう。
第1回 rootkitの概要と検知
[2003.1.15 UP]
システムをクラックする手段として「rootkit」というツールが存在する。ほとんどのrootkitはインストーラー形式になっており、簡単かつ短時間で改ざん作業を完了できるようになっている。攻撃者が利用するrootkitについて、その概要を知るとともに、防御方法について考えていこう。
[TTS,ITmedia]