[Team7] Micro Hardening ログ

# [Team7] Micro Hardening ログ資料 https://drive.google.com/file/d/15yWPDKDLx5m-a-ZG67gws9xCJVo2jTB-/view ## 接続情報踏み台サーバへのログイン ``` $ sudo ssh sshX-Y@ZZZ.ZZZ.ZZZ.ZZZ -L 80:192.168.0.X:80 -L 81:192.168.0.X:81 -L 590Y:192.168.0.X:590Y -L 8080:192.168.0.X:8080 -L 10000:192.168.0.X:10000 -bash-4.2$ hostname stepu.u.local ``` 踏み台サーバから競技サーバへのログイン ``` -bash-4.2$ hostname stepu.u.local -bash-4.2$ ssh userY@192.168.0.X (略) Are you sure you want to continue connecting (yes/no)? yes userY@192.168.0.X's password: [20200518-010314 userY@www ~]$ hostname www.dX.local ``` webサイト http://www.dX.local/ ## h2 対応方針・やった作業のメモをとる→HackMD ・作業したら共有する・監視で異変に気づいたら声を出す・何をやれば良いかわからなければ声を出す ## h1 （参考）対応優先度 ■対応優先度 ▽高バックアップ・データベース・ECサイト　・インストールディレクトリ・ブログサイト　・インストールディレクトリ　・設定ファイル・DNS 　・設定ファイル・各管理画面へのアクセス制限監視・ショッピングサイトの売上 ▽中・FTP 監視・ポートの空き状態確認・プロセス確認・crontab -l 　・アクセスログ　・apache：　tail -f /var/log/apache2/access.log 　もしくは　tail -f /var/log/httpd/access.log ▽低・メール ## 1セット目 ### h3役割分担司令塔：BANZAIさん設定投入：渋谷、荒木監視：岩崎、湯浅 ### 作業ログ #### BANZAI 14:20 ECサイトダウン →apache2, nginxのサービス再起動 14:36 ECサイトダウン →apache2, nginxサービス状態確認OK →FWで80向けポートがブロックされていた→ポリシー削除でアクセスできると思われる ▽2回目セット目やること・wordpress、EC CUBE、mysql, postgreSQLの管理画面アクセス制限・データベースのバックアップsudoをつけたがpermission deniedでdumpできず・/var/www/html, nginx配下のバックアップ →サイトがおかしくなったら、バックアップを入れ替えてサービス再起動・不要サービスのダウン：ftp、メール・不要ユーザの削除・192.168.0.103のIPアドレスをバン #### 渋谷 <apacheバックアップ> sudo mkdir /usr/local/bk ~~sudo cp apache2.conf /usr/local/bk~~ cp -rp /etc/apache2/ /usr/local/bk sudo cp -rp /usr/local/bk/apache2/ /etc/ <toorユーザ削除> sudo cat /etc/passwd udo userdel -r toor <uf変更> sudo ufw deny from 192.168.0.103 to any sudo ufw status numbered sudo ufw delete 3 sudo ufw delete 5 sudo ufw reload #### 荒木 DNS backup 14:07 /etc/unbound/* を/user/local/bk/dnsにコピー（mvしてしまったので、cpで元に直しました。） →接続を確認していただき異常なし14:12ごろ Mysql backup 14:14 /etc/mysql/* を/usr/local/bk/myにコピー以下はコピーできなかった？ cp: omitting directory 'conf.d' cp: omitting directory 'mariadb.conf.d' Nginx backup 14:19 /etc/nginx/nginx.conf を指定場所にコピー word-press backup 14:25 /var/www/nginx/wp-config.php を指定場所にコピー apacheのアクセスログをとろうとしている 14:35 システムダウン２かいめ14:36 ログとってくれる湯浅くん14:36 再起動 14:40 adminパスワード変更　初期+G7 14:44 root, test パスワード変更　 14:45 怪しいfirewall 3つめと5つめ.... #### 岩崎 #### 湯浅 listenしているポート確認 ``` $ ss -antup | grep tcp ``` apacheサーバのログ ``` $ sudo tail -f /var/log/apache2/access.log ``` 攻撃元IPを特定する接続元IP 192.168.0.101 192.168.0.102 192.168.0.103 192.168.0.105 192.168.0.106 192.168.0.107 192.168.0.108 192.168.0.110 192.168.0.113 192.168.0.120 ショッピングサイトの検索バーに脆弱性らしきもの http://www.d7.local/shop/html/products/list?category_id=&name=%27 でエラー SQLインジェクション(14:27:53) ``` 192.168.0.103 - - [01/Sep/2022:14:27:53 +0900] "GET /shop/html/products/list?login_email=taro@m.local&login_pass=yamadataro&name=1%27+or+%271%27+%3D+%271%27%3B+update+plg_customer_additional_info+set+question01+%3D+%27taro@m.local%27%2C+question02+%3D+%27yamadataro%27+from+dtb_customer+where+plg_customer_additional_info.customer_id+%3D+dtb_customer.customer_id+and+dtb_customer.email+%3D+%27anpan%40m.local%27%3B+-- HTTP/1.1" 200 11488 "http://www.d7.local/shop/html/products/detail/4" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79 Safari/537.36 Edge/14.14393" ``` クエリ ``` yamadataro&name=1' or '1' = '1'; update plg_customer_additional_info set question01 = 'taro@m.local', question02 = 'yamadataro' from dtb_customer where plg_customer_additional_info.customer_id = dtb_customer.customer_id and dtb_customer.email = 'anpan@m.local'; -- ``` ## 2セット目 ### h3役割分担司令塔：渋谷設定投入：黒木、荒木監視：岩崎、湯浅 ### 作業ログ #### BANZAI ・バックアップを取得・hacked by anonymousと表示されたので、　htmlをまるっと入れ替えたがすぐに表示されてしまった。 →何か変なプロセスが動いている？crontab？ #### 渋谷 hackedアノニマスの症状 →ページの改ざん →DBの改ざん →pgのPW変更やりたいことプロセス監視 cron監視 #### 荒木 passed変更 15:21 root, admin, ubuntu, user1-10, test 全員Hello07に変更 15:35 www-data Hello07に変更 15:40ごろから /var/www/nginx /var/www/htnlで怪しいファイルを探す topで怪しい動きを探す #### 岩崎 15:20 192.168.0.103 ban 15:32 hacked.txt　www-dataというユーザーに作られるファイアウォールや/var/www/html、tcpのlisten情報などを確認次やりたいこと IMAPサーバーの設定を変更する #### 湯浅 phpmyadmin パスワード変更(15:30) admin'@'127.0.0.1:Zv7gB5Jy admin'@'192.168.%.% admin'@'localhost' root'@'127.0.0.1:Zv7gB5Jy root'@'192.168.%.%: root'@'localhost' sshのプロセス確認(15:47) 自分たち以外にもroot権限でssh接続してる人がいる？ ``` sudo lsof -i | grep "ssh" ... sshd 6245 root 3u IPv4 8379324 0t0 TCP www.d7.local:ssh->192.168.0.200:42210 (ESTABLISHED) sshd 6247 root 3u IPv4 8379330 0t0 TCP www.d7.local:ssh->192.168.0.200:42212 (ESTABLISHED) sshd 6272 user5 3u IPv4 8379324 0t0 TCP www.d7.local:ssh->192.168.0.200:42210 (ESTABLISHED) sshd 6286 root 3u IPv4 8379398 0t0 TCP www.d7.local:ssh->192.168.0.200:42214 (ESTABLISHED) sshd 6306 user2 3u IPv4 8379330 0t0 TCP www.d7.local:ssh->192.168.0.200:42212 (ESTABLISHED) sshd 6374 user3 3u IPv4 8379398 0t0 TCP www.d7.local:ssh->192.168.0.200:42214 (ESTABLISHED) sshd 11290 root 3u IPv4 8370214 0t0 TCP www.d7.local:ssh->192.168.0.200:42132 (ESTABLISHED) sshd 11314 user1 3u IPv4 8370214 0t0 TCP www.d7.local:ssh->192.168.0.200:42132 (ESTABLISHED) sshd 22484 root 3u IPv4 8484702 0t0 TCP www.d7.local:ssh->192.168.0.200:43340 (ESTABLISHED) sshd 22505 user5 3u IPv4 8484702 0t0 TCP www.d7.local:ssh->192.168.0.200:43340 (ESTABLISHED) sshd 24952 root 3u IPv4 8374140 0t0 TCP www.d7.local:ssh->192.168.0.200:42154 (ESTABLISHED) sshd 24984 user4 3u IPv4 8374140 0t0 TCP www.d7.local:ssh->192.168.0.200:42154 (ESTABLISHED) ``` 15:54 RCEができそうなコンテンツが作成されている PHPコード埋め込みプラグインを使用ログを見る限りはこれを介した攻撃はやられてなさそう？ ![](https://i.imgur.com/zN0aeVl.png) 15:57 www.d7.local.152401が攻撃者なので削除 ![](https://i.imgur.com/PJ73aZY.png) 15:59 wordpressのadminユーザーのパスワード変更 admin:iVFtlCX^0oNzchCrXD#1gMm$ 3セット目やること - phpmyadminのadmin、rootパスワード変更 - wordpressのadminパスワード変更 - nginxのログも見る(`/var/log/nginx/access.log`) ## 3セット目 ### 作業ログ #### BANZAI ECCUBEのPW→admin7 webサービス立ち上げ phpmyadmin PWの変更 #### 渋谷 bkup apache2 html nginx crontab確認プロセス確認 syslog確認 pgログ確認 #### 荒木 16:50前　posgre 9.5/main/ をバックアップ 16:50　落ちる 16:53 wordpress, eccube 不審なユーザはいない wordpress、ECCUBEで不審なユーザがいないか確認する /var/logのログを確認する #### 岩崎 firewallの設定変更 IMAPサーバーの設定変更 apacheの/etc/apache2/apache2.confの設定いじる(更新せず) #### 湯浅 16:32 wordpressパスワード変更 admin:CVsxH)y9AE63c4nV*fgwDHTl 16:32 ユーザーのパスワード変更 ``` $ sudo passwd [user] ``` root:q5V!e8M) user1-11:q5V!e8M) www-data:q5V!e8M) 16:42 phpmyadminのパスワード変更(Zv7gB5Jy) admin'@'127.0.0.1:Zv7gB5Jy admin'@'192.168.%.% admin'@'localhost' root'@'127.0.0.1:Zv7gB5Jy root'@'192.168.%.%: root'@'localhost' 16:48 怪しい投稿の削除 ![](https://i.imgur.com/zN0aeVl.png) 16:58 XSS攻撃の確認 ![](https://i.imgur.com/hvmRl9j.png) 17:15 ECCUBEのログをやっと発見 ``` $ cat /var/www/html/shop/app/log/site_2022-09-01.log ... [2022-09-01 17:12:36] eccube.INFO: > GET /shop/html/admin/ [] [] [2022-09-01 17:12:36] eccube.INFO: < 200 [] [] [2022-09-01 17:14:27] eccube.INFO: Matched route "admin_homepage". {"route_parameters":{"_controller":"\\Eccube\\Controller\\Admin\\AdminController::index","_route":"admin_homepage"},"request_uri":"http://www.d7.local/shop/html/admin/"} [] [2022-09-01 17:14:27] eccube.INFO: > GET /shop/html/admin/ [] [] [2022-09-01 17:14:27] eccube.INFO: < 200 [] [] ``` ## 振り返り