FrontPage Server Extensionsを狙った攻撃をキャッチ
ハニーポットに珍しいログを発見したので、ご紹介します。
捕まえたログはこんなんです。
POST /_vti_bin/_vti_aut/author.dll HTTP/1.1 Accept: auth/sicily Cache-Control: no-cache Connection: close Content-Length: 194 Content-Type: application/x-vermeer-urlencoded Host: XXX.XXX.XXX.XXX Mime-Version: 1.0 User-Agent: core-project/1.0 X-Vermeer-Content-Type: application/x-vermeer-urlencoded method=put+document%3a4%2e0%2e2%2e4715&service%5fname=&document=%5bdocument%5fname%3dcore%2ehtml%3bmeta%5finfo%3d%5b%5d%5d&put%5foption=overwrite&comment=&keep%5fchecked%5fout=false core-project
なにやら"/vti_bin/vti_aut/author.dll"という見慣れないファイルへのアクセスですが、調べてみるとこれはMicrosoftのFrontPage Server Extensionsの設定ファイルでした。
FrontPage Server Extensionsって何?って思いましたが、CGIをIISで動作させるための拡張機能でした。
FrontPage Server Extensions は、Common Gateway Interface (CGI)、または、Internet Server Application Programming Interface (ISAPI) を使用します。Webの拡張機能を付けたいときに必要です。 FrontPage Server Extensionsって何?
POSTリクエストの部分をURLデコードするとこんな感じになります。
method=put document:4.0.2.4715&service_name=&document=[document_name=core.html;meta_info=[]]&put_option=overwrite&comment=&keep_checked_out=false core-project
下記サイトに記載されているアプリケーション脆弱性診断で使用するPythonのスクリプト例とほぼリクエストが合致するので、攻撃者も同様のスクリプトを用いて探索しているものと思われます。 vulners.com
上記リクエストではcore.htmlというファイルをアップロードでテストしているようです。
この脆弱性を使用すると任意のファイルをアップロードできるので、FrontPage Server Extensionsを使用されている方は注意が必要です。
僕のハニーポットが捕まえた本日のWebShell調査アクセス(動作確認)
最近メモリ不足で停止していたハニーポットを復旧させたので、動作確認を含めログを見てみました。
復旧の際の記事はこちら。
あいかわらず、ほとんどがWebShell調査用のアクセスで目新しいものはないのです。
2018/10/8(月)は全部で50件のWebShell調査アクセスがありました。 下記はアクセス先のファイルです。
2018-10-08 20:24:41 /ppx.php 2018-10-08 20:24:41 /1.php 2018-10-08 20:24:41 /confg.php 2018-10-08 20:24:41 /conf1g.php 2018-10-08 20:24:41 /ver.php 2018-10-08 20:24:41 /hack.php 2018-10-08 20:24:41 /qa.php 2018-10-08 20:24:41 /Ss.php 2018-10-08 20:24:41 /xxx.php 2018-10-08 20:24:42 /92.php 2018-10-08 20:24:43 /z.php 2018-10-08 20:24:43 /x.php 2018-10-08 20:24:43 /nuoxi.php 2018-10-08 20:24:43 /godkey.php 2018-10-08 20:24:44 /okokok.php 2018-10-08 20:24:44 /erwa.php 2018-10-08 20:24:44 /pma.php 2018-10-08 20:24:44 /ruyi.php 2018-10-08 20:24:44 /51314.php 2018-10-08 20:24:44 /5201314.php 2018-10-08 20:24:44 /fusheng.php 2018-10-08 20:24:44 /general.php 2018-10-08 20:24:44 /repeat.php 2018-10-08 20:24:44 /ldw.php 2018-10-08 20:24:44 /api.php 2018-10-08 20:24:45 /s1.php 2018-10-08 20:24:45 /xiaodai.php 2018-10-08 20:24:45 /hello.php 2018-10-08 20:24:45 /xp.php 2018-10-08 20:24:45 /1.php 2018-10-08 20:24:45 /2.php 2018-10-08 20:24:45 /p.php 2018-10-08 20:24:45 /1.php 2018-10-08 20:24:45 /a.php 2018-10-08 20:24:45 /m.php 2018-10-08 20:24:47 /conf.php 2018-10-08 20:24:47 /123.php 2018-10-08 20:24:47 /HX.php 2018-10-08 20:24:47 /diy.php 2018-10-08 20:24:47 /666.php 2018-10-08 20:24:48 /777.php 2018-10-08 20:24:48 /qwq.php 2018-10-08 20:24:48 /.php 2018-10-08 20:24:48 /xiaoma.php 2018-10-08 20:24:48 /xiaomae.php 2018-10-08 20:24:48 /xiaomar.php 2018-10-08 20:24:48 /qq.php 2018-10-08 20:24:48 /data.php 2018-10-08 20:24:48 /log.php 2018-10-08 20:24:48 /fack.php
POSTリクエストのBODY部分はだいたい下記のようなものが多いです。
xiaodai=die(md5(Ch3ck1ng));
今日は動作確認でした。
ハニーポットサーバ(EC2)にログインできなくなったので復旧までの道のりを書く
先日SFTPクライアントでいつもどおり、Glastopfのログを取得しようとしたところ、接続できない事象が発生しました。
SSHで接続しようとしても、
こんな感じで、
Operation timed out
となってしまいます。
僕の場合、AWS上にハニーポットを構築しているので、早速調査してみました。
とりあえずの再起動
とりあえず、何かハングしているのではないかと思い、AWSコンソール上から対象のEC2を再起動してみました。
ダメでした。 再起動しても接続できない状況は変わりませんでした。
EBSをデタッチ
こりゃダメだと思い、対象のEC2を停止させてEBSをデタッチしました。
調査用のEC2インスタンスを作成
その次に調査用のEC2をAWSコンソールから作成しました。
ハニーポットで使用していたOSはUbuntuだったので、それに合わせてEC2を作成しました。
使用していたEBSを調査用EC2にアタッチ
調査用のEC2が作成できたら、先ほどデタッチしたEBSをアタッチします。
その後、調査用EC2を起動します。
調査用EC2にログインして、使用していたEBSボリュームをマウント
このままではアタッチしたEBSボリュームがマウントされていない状態なので、ログインしてマウントさせていきます。
まずは、マウント先のディレクトリを作成します。
sudo mkdir /mnt/ebs
その後は、mountコマンドを使用して対象デバイスを上記で作成したディレクトリにマウントさせます。
sudo mount /dev/xvdf1 /mnt/ebs/
ここで注意が必要なのは、デバイス名です。
上記でEBSをアタッチした際に、下記のような注意書きがありました。
注: ここで入力された (および詳細情報に表示される) デバイス名が /dev/sdf から /dev/sdp であっても、新しい Linux カーネルによっては内部でデバイスの名前が /dev/xvdf から /dev/xvdp に変更されることがあります。
デバイス名が変更されているので、そこを考慮してブロックデバイスをマウントさせます。
調査開始
ここまでできたら、何が起こったか調査開始です。
僕の当初の予想では何か不正なファイルを大量にアップロードされて、ファイルシステム容量が一杯になってしまったのではないかと予想してたので、dfコマンドで容量を確認してみました。
$ df -h Filesystem Size Used Avail Use% Mounted on udev 229M 0 229M 0% /dev tmpfs 48M 736K 48M 2% /run /dev/xvda1 7.7G 1.1G 6.7G 14% / tmpfs 240M 0 240M 0% /dev/shm tmpfs 5.0M 0 5.0M 0% /run/lock tmpfs 240M 0 240M 0% /sys/fs/cgroup /dev/loop0 88M 88M 0 100% /snap/core/5328 /dev/loop1 13M 13M 0 100% /snap/amazon-ssm-agent/495 tmpfs 48M 0 48M 0% /run/user/1000 /dev/xvdf1 7.8G 3.8G 3.6G 52% /mnt/ebs
一番下が対象の領域なのですが、使用率が52%といっぱいではありませんでした。
じゃあ何がだめだったのかをシステムログから確認します。
/mnt/ebs/var/log配下に残っていたsyslogを見てみます。
すると、
Oct 2 20:31:33 ip-XXX-XXX-XXX-XXX dhclient: fork: Cannot allocate memory
こんな感じのログが連続して吐かれていました。
なんとなくメモリ領域が不足しているような感じでした。
ググっても同じような記事を見かけたので、とりあえず原因はメモリ不足と判断しました。
aws wordpressを構築したt2.microが反応しなくなる件 | Kikudai Blog
とりあえず元のEC2のメモリを増やして起動
元のEC2で使用していたインスタンスタイプがt2.micro(メモリ1GB)だったので、t2.small(メモリ2GB)に変更してみます。
その後、元のEBSをアタッチしてEC2を起動します。
ログインできるか確認
その後、ログインできるかどうか確認してみたところ、正常にログインできました。
まあメモリ1GBのしょぼしょぼサーバで運用していたので、こんな状況もあるかなと思いましたが、なんでメモリ不足になったかまでは調査していないので、今後調査すると共に、CloudWatchを使用したメモリ監視の機能も考慮したいと思います。
残念なことに、GlastopfやCorwieの自動起動設定もやっていなかったし、NATの設定も消えてしまったので、そのあたりも設定したいと思います。
とりあえず、乗っ取られてなくてよかった。笑
【レビュー】まだiPhone 6sで消耗してるの?元iPhone 6sユーザーがiPhone XSを2週間使ってみての感想
9/21に予約していたiPhone XSが自宅に届き、そこから使用し始めて2週間が経過し、iPhone XSの操作にも慣れたので、その感想です。
iPhone 6sからの切り替えだったので、いろんな便利な機能が増えていて、驚きでした! Appleさんの進化半端ねえ。。。
もうね、iPhone 6sの人で買おうかどうか迷っている人がいたら買っちゃった方がいいですよ!
電子マネーは最高
iPhone 7以降で使用可能になった電子マネーですが、これまでiPhone 6sユーザーだった僕は残念ながら、このiPhoneで交通機関を利用したり、コンビニでものを買ったりする体験がありませんでした。
が、iPhone XSになった今初めてiPhoneでコンビニでものを買うという体験ができたときは衝撃でした。
もうコンビニ行く程度なら、財布なんて持っていかないし、電車に乗るときもカバンの中からSuicaを探して取り出さなくていいし、とにかく楽になりました。
Face IDは最高
スマホのセキュリティは大事ですよね。 なのでiPhone 6s時代は、もちろんパスワードを設定してロックしていて、当たり前のように毎回6ケタの数字を打ち込んでいたのですが、今の時代はもうそんな面倒なことはしなくても良くなりました。
もう顔ですよ。顔。
数字を打ち込まなくても、顔をかざすだけで認証してくれるので、すばやくホーム画面に辿りつくことができます。
そしてさらに便利な機能として、例えばLineの通知が来たとき、僕はすぐにだれから連絡きたか判断できるようロック画面にメッセージ内容も含めて表示させていましたが、これが厄介なときって結構ありますよね?
例えば、気になる女性と食事をしているときに、他の女性からLineが来てロック画面にメッセージ内容が表示されてしまったりとか、仕事仲間と食事をしているときに恥ずかしいプライベートの内容のLineが来て見られてしまったりとか、便利なときは便利なんですが、タイミングによっては不便なときもありました。
ところが、このFace IDが導入されたことにより、メッセージが来た時は、誰からメッセージが来たかは分からないように通知がきます。
そして顔をかざすとそのメッセージ内容が表示されるという素晴らしい機能になっています。
これによって、上記のような気まずい場面に出くわすことがなくなりました。
ホームボタンがなくても3日で慣れる
iPhone XSを購入する前はどうしても気になる仕様がありました。
それはホームボタンがなくなるってどうなるんだろうっていう疑問です。 そもそもどうやってホーム戻るの?もうホームに一生戻れないの?と心配してましたが、iPhone XSを初めて起動したときに優しくレクチャーされるので、全然心配ないです。
今はもうホームボタンってむしろ邪魔だったよねって思えるくらいにまでなりました。
下の方からスワイプすることでホーム画面に戻れるのですが、3日もあれば慣れます。
困ったこと
逆に少し変わりすぎて、困ったことがちょっとだけありました。
- 画面キャプチャの撮り方が変わっていた
画面キャプチャはこれまで、電源ボタンとホームボタンの同時押しで撮影していたのですが、このホームボタンが無くなったことで、いざキャプチャ画面を取ろうってなったときにパニクりました。
冷静に調べると、電源ボタンと音量ボタンの同時押しで撮影できるらしく、やってみると普通に撮れました。 というか、ホームボタンに比べ片手でキャプチャ画面が撮影でき、こっちの方が今では楽です。
- 電源の切り方が変わっていた 友人と映画を見に行った際、映画が始まる前に電源を切ろうと電源ボタンを長押したところ、Siriが起動されてしまい結局そのときは電源を切ることができませんでした。このとき僕は相当焦りましたが、とりあえず機内モードでやり過ごしました。
後々調べてみると、これも電源ボタンだけの長押しではなく、電源ボタンと音量ボタンの同時押しの長押しに変わっていました。
困ったことはこれぐらいです。
あとはiPhone 6sと比較すると、細かな改善が多々されていて使い勝手がよくなっている印象でした。
iPhone XSは¥112,800(税別)からと決して安くはないですが、少なくともiPhone 6sユーザーで買おうかどうか迷っている方は買いだと思います!
【読書メモ】これからの新しい生き方『死ぬこと以外かすり傷』
先週末、結構な失敗をして、本屋に立ち寄り僕の心に一番突き刺さった本がこちらです。
- 作者: 箕輪厚介
- 出版社/メーカー: マガジンハウス
- 発売日: 2018/08/28
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る
「死ぬこと以外かすり傷」って、たしかに考えようによっちゃ、そうだよなと思いながら、半信半疑で本を手に取り購入し、読んでみた記録です。
読んでほしい人
- 普通の仕事に飽き飽きしている人
- 成長したいと思っている人
- 人生をもっと楽しみたいと思っている人
この本のサマリ
この本で言いたいことは、「とにかく熱狂的にあらゆることを楽しもう」ということだと感じました。 そうすれば、普通の生き方とは違った域に達することができるというもので、特に僕が気に入っているのが、この本の「おわりに」に書かれている文章です。
飲み会で正気な人はいつも損をする。あと片付けしたり、会計をしたり、人を送ったり。 この際、楽しく酔って騒ぎまくろう、歌いまくろう、踊りまくろう。そして、また翌日、しれっと反省して、ケロッとしてまた同じことを繰り返せばいいのだ。 この世は酔いがさめた人間、まともになった人間から脱落していく愉快なレースだ。世界に対してできることを考えながら自分らしく狂え。ありのままで楽しみながら、自分にしか生み出せない何かを作れ。
この本によると僕は割と酔いがさめた人間なのかもしれないとこの文章を読んで感じました。 もっと仕事もプライベートも酔って酔って酔いまくって、熱狂的に行きたい。そんな風に感じました。
お金の稼ぎ方について
この本の中で特に印象に残ったのは、お金の稼ぎ方です。
どんな小さなことでもいい。自分の手で、頭で、足で、名前で稼いでみろ。自分の値札を意識しなければ、一生飼われた豚のままだ。飢えたオオカミになれ。
著者の箕輪さんは普段は会社員として働いているのですが、好きな人と好きなタイミングで仕事をするために家賃の高い都心のマンションに引っ越し、稼がないといけない状況をあえて作り、そこから稼ぎ方を考えるというところが普通とは違うのですが、そうすることで否が応でも稼がないといけないので、自分の市場価値を意識したと語っています。
そこから、Webメディアに記事を売り込み、編集者養成講座で講演を行い、実績をある程度作ってからオンラインサロンを開設し、徐々に稼いでいきます。 その後は、編集者という枠組みを超えて、商品をプロデュースしたりと幅広く活躍することができるようになっています。まじすごい!
働き方について
働き方についても箕輪さんは圧倒的な考え方を持っています。
圧倒的に手を動かせ。戦術や戦略はそれから語れ。ウダウダ考える前に誰よりも打席に立つ。恥を恐れず舞台に上がる。話はそれからだ。
もうやりたいと思ったら、すぐに手を動かせということです。 成功も失敗も気にせず、とにかくやる。この精神が大事です。
ただ、この章の後半ではどれぐらい手を動かすのかについて言及している箇所があり、そこが単純明快な基準でなるほどと思いました。
人の何十倍も努力しろ、と言うけれど、人間はみな平等に24時間しか持っていない。不眠不休で働いたとしても、時間で考えるとせいぜい人の2倍しか努力はできない。では、どこで差がつくか。それは、「昨日までできなかったことをできるようにする」ということを日々積み重ねることだ。
結局は常に昨日の自分との戦いなんです。 一番強い敵は自分なんです。 そう感じました。
今の自分は昨日の自分と比べて、何ができるようになったのだろう。そう考えをめぐらし生きていくことが大切なんだなと感じました。 とりあえず今の僕はこの本に出会い、箕輪さんという人物の考えに触れることができたことは大きな財産です。
追伸 昨日あたりのスッキリに箕輪さんが出演されていて、どんどん活躍の場を広げている印象でした。
【読書メモ】自分にとって何が重要かを考えるために『何を捨て何を残すかで人生は決まる』
読んだ本のメモです。 タイトルに惹かれて読んでみました。
何を捨て何を残すかで人生は決まる (青春新書インテリジェンス)
- 作者: 本田直之
- 出版社/メーカー: 青春出版社
- 発売日: 2016/04/02
- メディア: 新書
- この商品を含むブログを見る
読んで欲しい人
- いやなことばっかりやっていると感じる人
- インプットの時間が足りないと感じる人
- 流されやすい人
この本の言いたいこと
本の序盤でこの本の言いたいことがすべて主張されています。
あなたが「いるか、いらないか」「やるか、やらないか」「持つか、持たないか」「会うか、会わないか」を選ぶ力は、誰も奪うことができません。 もし、あなたが何を望んでいるか明確にわからないのなら、まずは「やりたくないこと」をだけを紙に書き出してみましょう。
やりたいことはあっても、気づくとやりたくないことばかりやっていて、「何やってんだろ」と思うことは誰にだってあると思います。
僕のやりたくないこと
僕の場合やりたくないことは、
- 楽しくない飲み会にいつまでも付き合わせられる
- お金のことで将来に不安を感じる
- 仕事に関して時間に縛られる
- 無駄な物を買ってしまう
- 無駄な人付き合い
こんなとこでしょうか。 いざやりたくないことを考えろって言われてみると、意外と出てこないです。笑
やりたくないことを捨てるために
この本ではやりたくないことを捨てるためには「実験」が必要と主張しています。
本に記載されている「実験」の例は下記のとおりです。
「オフィスに向かう通勤経路を変えてみる」「1ヶ月の生活費を今の半分にしてみる」「年に1回ネット環境のない場所ですごしてみる」「部屋の中にある物を徹底的にいる、いらないで分別する」「飲み会の二次会には行かないと決める」
こういったことが小さな実験となり、成功しても失敗しても、その人の財産になるというわけです。
僕の例で当てはめると、
- 楽しくない飲み会にいつまでも付き合わせられる
→飲み会は基本的に断る。(一緒にいて楽しい人がいる場合は参加する)
- お金のことで将来に不安を感じる
→空いている時間で副業をやってみる。幸い僕の会社は副業が禁止されていないので、ちゃんと税金の処理さえクリアすれば問題なさそうです。
- 仕事に関して時間に縛られる
→これはコントロールするのが難しいですが、極論サラリーマンをやめれるくらい不労所得があれば、時間に縛られることはないです。仕事に関しては、お金のためもあるのですが、その他にもやりがいだったり、社会貢献だったり、いろんな要素があるので、なかなか難しいですが。。。
- 無駄な物を買ってしまう
→これはかなり改善の余地がありそうです。「生きるために必要なもの以外買わない」みたいな実験をしてみたらおもしろいかな。
- 無駄な人付き合い
→楽しくないイベントには参加しない。
この本ではこういった削ぎ落としていく感覚が自分の価値を高めると主張しています。
「自分のライフスタイルで重要なモノはなんなのだろう?」と見極められないいままでは、やみくもにあれが欲しい、これが欲しいと感じる欲を手放せないからです。
インプットの時間を作るためにスケジュールから天引き
この本の後半でインプットの時間について説明している部分がありました。 最近インプットの時間が圧倒的に足りないと感じる僕にとっては非常に参考になる部分がありました。
時間も「時間があったら勉強しよう」「暇ができたら本を読もう」「休みが取れたら人と会おう」では、いつまでたってもインプットのための時間を作ることはできません。
そこで、初めからインプットの時間をスケジュールに入れておき、時間を確保しておくことが重要となってきます。 僕は普段Googleカレンダーで予定を管理しているのですが、このインプットの時間に関してはあらかじめ予定にいれておくことにします。
【読書メモ】今の時代の幸せのヒントを与えてくれる『どうすれば幸せになれるか科学的に考えてみた』
本を読んだメモです。
- 作者: 吉田尚記,石川善樹
- 出版社/メーカー: KADOKAWA
- 発売日: 2017/09/21
- メディア: 単行本
- この商品を含むブログを見る
タイトルにものすごく興味が湧いたので、『どうすれば幸せになれるか科学的に考えてみた』を読みました。
予防医学を専門とする石川さんとニッポン放送アナウンサーの吉田さんの対談形式の本で、正直に読んだ感想を言うと、もっと科学的で論理的な内容かと思いましたが、全然科学的ではなかったところが残念でした。
でも、僕なりの新しい発見がいくつかあり、幸せになるためのヒントを得られた点では有意義な本でした。
究極のゴール
この本の最初の方で、
究極のゴールは「朝ワクワクして目が覚めて、夜満ち足りた気持ちで眠れるか」
という文言がありましたが、まさにその通りで、これが世の中の人のゴールと共感を持つことができたのですが、どうすればこのような状態になれるのかは、この本の後半で解説されていました。
どうすればゴールにたどり着けるか
どうすれば上記の究極のゴールにたどり着けるかは石川さんが後半でこのように語っています。
それぞれ自分の「祭り」を見つけなきゃいけないわけですよね。で、自分が何をしていると楽しいか理解するには、過去の楽しかった経験を「分類」して、それを「抽象化」する作業が必要です。
例えば、僕の場合最近はテニスをしているときが楽しいのですが、少し分類し、抽象化すると僕は運動好きだということが分かります。 そこで、他のスポーツにもチャレンジしてみると新しい発見があったりして、より楽しむことができると石川さんは主張しています。
その際に、苦手なことや嫌なことがあって失敗しても死ぬわけではないので、50歳くらいまではいろんなことにチャレンジしようと言っている石川さんと吉田さんが話しているのは驚きでした。
好きをベースに得意なことを見つけ、ある程度得意になったら、別のことにもチャレンジする。 この繰り返しが幸せになる秘訣なのかもしれません。
そして、その得意なことが「身近な人に認められる」→「業界から認められる」→「別の業界から認められる」ということになれば、ほっといても大量の物事が入ってくるという感じで、自分の得意なことのレベルを把握しておくことが大事と後半で語っています。
これは普段の仕事にも応用できることで、たとえば僕のようなシステムエンジニアの場合、Linuxが得意であれば、それをベースにLinuxの知識を深め、同僚からあの人はLinuxが得意と認められる。その次に、OSSコミュニティや外部の勉強会などに参加して、業界から認められるというプロセスがあるかと思います。
この本では他にも幸せになるためのヒントを与えてくれるような本になっているので、少なくとも幸せについてじっくり考えたことがない方にはおすすめです。
キーワード
僕がこの本で気になったキーワードは下記のとおりです。
- 感情のチェックリスト
- 孤独遺伝子
- 人生を支えるコンセプト
- 経済複雑性指標
このあたりのキーワードに興味を抱いた方もぜひ読んでみてください。