# 危機管理コンテスト二次予選 トラブルチケットを書く   ネットワークの設定の変更をする場合はセオに許可をとる ユーザーのコンテンツを変更する場合は許可をとる 電話で連絡を行う場合ははじめに連絡を行う ユーザ〜からの攻撃はない 開始 14:07~ -- traP トラブル１ 1. 障害の概要 ID: 01~ 発生時刻: 14時11分発生報告~ 発見者: イトダ inoue@service.com2.local~ 担当: チームtraP~ 内容: イノウエ様のページ(http://inoue.com2.local/)に入会料100万円の振込を請求するアラートが表示~ 2. 障害への対応 [2019-05-02]~ [14:11] イトダ様より上記内容の障害報告を受理~ ページの改ざんの疑いがあるのでイトダ様にページを開かないように連絡~ [14:14] 対象サーバーVictorにsshして調査を開始~ [14:18] セオ様に状況報告。イノウエ様の電話番号を聞く~ [14:20] イノウエ様に障害報告~ 自身での改ざんを行なっていないこと、パスワードも脆弱でないことを確認~ バックアップを行なって良いかを確認~ [14:27] 調査の結果、イノウエ様のsshへの攻撃が確認~ [14:29] セオ様にイノウエ様のバックアップからの復元をして良いかの確認~ sshへの攻撃が確認されたことの報告~ セキュリティ改善の提案を行う~ 1. イノウエ様のパスワードの変更~ 2. fail2ban 当該ユーザーのログインをブロック~ 3. 公開鍵認証を用いる~ [14:33] セオ様からのイノウエ様にパスワードの変更を相談することを連絡した。~ 公開鍵認証を用いるセキュリティ改善の提案を行う~ [14:36] セオ様からの連絡~ 公開鍵認証は用いることができない [14:40] イノウエ様へ状況の説明とパスワード変更の提案の電話を行なった。~ sshに攻撃をされている~ [14:44] パスワードの変更を実施~ [14:44] イノウエ様に連絡 イノウエ様のメールアドレスを聞く~ [14:46] イノウエ様のサイトをバックアップから復元~ [14:49] イノウエ様にパスワードの変更のメールを送信~ [14:51] 障害の復旧がなされていないことが判明~ [14:51] セオ様に連絡 パスワードの変更を実施したことの報告~ キャッシュやCDNサービスを利用していないかの確認~ [14:56] イノウエ様のホームディレクトリに.htaccessあることが判明~ [14:56] イノウエ様に連絡 .htaccessに心当たりはないことを確認~ [14:58] .htaccessを削除~ [14:58] 障害の復旧を確認~ [14:59] イトダ様への解決のメール~ [14:59] セオ様に原因の特定と解決の連絡~ 3. 原因の究明~ /var/log/auth.logを解析し、inoueユーザーに対してsshログインを行おうとするブルートフォース攻撃があることがわかった。~ 原因としては、ブルートフォース攻撃によりinoueユーザーに対して不正にログインが行われ、ファイルの書き換えが行われたことであった。~ 不正に書き換えられたファイルを、バックアップから復元・削除を行うことで解決した。~ 4. 再発防止案について~ サーバーに対する不正なログインを防ぐために以下の2つの対応を提案します。~ - fail2banなどの連続ログイン試行をシャットダウンするソフトウェアの導入~ - 公開鍵認証などのより強固なセキュリティを用いたログイン手段の導入~ --------------- トラブル2 1. 障害の概要~ ID: 02~ 発生時刻: 15:08~ 発見者: セオ~ 担当: チームtraP~ 内容: 社員用ページ（http://www.com2.local/)が改ざんされる 倒産してないのにも関わらず、倒産したという誤報が表示される~ 2. 障害への対応 [15:08] セオ様からの電話により問題を把握。社員に対しトップページの内容は間違っていることをメールしてもらうように連絡~ [15:10] トップページに http://10.1.130.50/2.php へのリンクを発見~ [15:10] セオ様に、上記のURLへのアクセスをしないように、社員とホスティングサービスの利用者に対して注意喚起をしてほしいとの連絡の電話を行った。~ [15:14] SQLiの脆弱性をBBS(/var/www/wordpress/bbs/以下のphpファイル)にて発見~ [15:18] セオ様にデータベースのバックアップやログが提供できないか、BBSに脆弱性があることの電話を行なった。~ [15:28] セオ様からの連絡。改ざん前のページに戻す方法が判明したため、戻す許可を得た。原因は特定できていないが会員用BBSの脆弱性を利用して攻撃が可能であると認識していると報告~ [15:30] 改ざんの日時が15:04と判明~ [15:31] トップページを改ざん前の状態に戻す~ [15:32] トップページを変更したのは不明なユーザーであることを確認~ [15:34] セオ様へ電話。トップページの修正の報告と確認を行う。WordPressのパスワードをより強固なものに変更する、WordPressのプラグインを最新のものにアップデートする、BBSのSQLi脆弱性を修正することを提案。~ [15:37] 終了~ 3. 原因の究明 Webサーバのアクセスログ/var/log/httpd/access_logを解析した結果、以下のログを発見。~ ``` 10.1.130.50 - - [02/May/2019:15:04:42 +0900] "POST /index.php/wp-json/wp/v2/posts/1?id=1A HTTP/1.1" 200 21053 "-" "curl/7.29.0" 10.1.130.50 - - [02/May/2019:15:05:00 +0900] "POST /index.php/wp-json/wp/v2/posts/1?id=1A HTTP/1.1" 200 5697 "-" "curl/7.29.0" ``` 攻撃元IPがWordPress REST APIにアクセスしているため、WordPress REST APIの脆弱性を利用してトップページを改ざんしたと考えられる。~ 参考URL: https://www.morihi-soc.net/?p=941~ トップページは管理画面より、以前のリビジョンを復元した。~ WordPress及びプラグインをバージョンアップすることで対策が行える。~ 4. 再発防止策 今回のような問題を再発させないために以下の2つを提案します。~ ◯WordPress及びプラグインの定期的なバージョンアップ~ 今回の脆弱性は、最新のバージョンではすでに修正済みの脆弱性でした。~ 使用しているソフトウェアの脆弱性情報を参考に常に安全なバージョンを利用することをおすすめいたします。~ ◯本件では悪用されなかったが、会員用BBSのSQLインジェクション脆弱性の修正~ 本件の調査中に会員用BBSのSQLインジェクション脆弱性を発見いたしました。~ 本件はこれを利用した攻撃ではありませんでしたが、今後悪用される可能性がございます。~ 早急な対応をお願いいたします。~