# [Team7] Micro Hardening ログ 資料 https://drive.google.com/file/d/15yWPDKDLx5m-a-ZG67gws9xCJVo2jTB-/view ## 接続情報 踏み台サーバへのログイン ``` $ sudo ssh sshX-Y@ZZZ.ZZZ.ZZZ.ZZZ -L 80:192.168.0.X:80 -L 81:192.168.0.X:81 -L 590Y:192.168.0.X:590Y -L 8080:192.168.0.X:8080 -L 10000:192.168.0.X:10000 -bash-4.2$ hostname stepu.u.local ``` 踏み台サーバから競技サーバへのログイン ``` -bash-4.2$ hostname stepu.u.local -bash-4.2$ ssh userY@192.168.0.X (略) Are you sure you want to continue connecting (yes/no)? yes userY@192.168.0.X's password: [20200518-010314 userY@www ~]$ hostname www.dX.local ``` webサイト http://www.dX.local/ ## h2 対応方針 ・やった作業のメモをとる→HackMD ・作業したら共有する ・監視で異変に気づいたら声を出す ・何をやれば良いかわからなければ声を出す ## h1 （参考）対応優先度 ■対応優先度 ▽高 バックアップ ・データベース ・ECサイト 　・インストールディレクトリ ・ブログサイト 　・インストールディレクトリ 　・設定ファイル ・DNS 　・設定ファイル ・各管理画面へのアクセス制限 監視 ・ショッピングサイトの売上 ▽中 ・FTP 監視 ・ポートの空き状態確認 ・プロセス確認 ・crontab -l 　 ・アクセスログ 　・apache： 　tail -f /var/log/apache2/access.log 　もしくは 　tail -f /var/log/httpd/access.log ▽低 ・メール ## 1セット目 ### h3役割分担 司令塔：BANZAIさん 設定投入：渋谷、荒木 監視：岩崎、湯浅 ### 作業ログ #### BANZAI 14:20 ECサイトダウン →apache2, nginxのサービス再起動 14:36 ECサイトダウン →apache2, nginxサービス状態確認OK →FWで80向けポートがブロックされていた→ポリシー削除でアクセスできると思われる ▽2回目セット目やること ・wordpress、EC CUBE、mysql, postgreSQLの管理画面アクセス制限 ・データベースのバックアップsudoをつけたがpermission deniedでdumpできず ・/var/www/html, nginx配下のバックアップ →サイトがおかしくなったら、バックアップを入れ替えてサービス再起動 ・不要サービスのダウン：ftp、メール ・不要ユーザの削除 ・192.168.0.103のIPアドレスをバン #### 渋谷 <apacheバックアップ> sudo mkdir /usr/local/bk ~~sudo cp apache2.conf /usr/local/bk~~ cp -rp /etc/apache2/ /usr/local/bk sudo cp -rp /usr/local/bk/apache2/ /etc/ <toorユーザ削除> sudo cat /etc/passwd udo userdel -r toor <uf変更> sudo ufw deny from 192.168.0.103 to any sudo ufw status numbered sudo ufw delete 3 sudo ufw delete 5 sudo ufw reload #### 荒木 DNS backup 14:07 /etc/unbound/* を/user/local/bk/dnsにコピー （mvしてしまったので、cpで元に直しました。） →接続を確認していただき異常なし14:12ごろ Mysql backup 14:14 /etc/mysql/* を/usr/local/bk/myにコピー 以下はコピーできなかった？ cp: omitting directory 'conf.d' cp: omitting directory 'mariadb.conf.d' Nginx backup 14:19 /etc/nginx/nginx.conf を指定場所にコピー word-press backup 14:25 /var/www/nginx/wp-config.php を指定場所にコピー apacheのアクセスログをとろうとしている 14:35 システムダウン２かいめ14:36 ログとってくれる湯浅くん14:36 再起動 14:40 adminパスワード変更　初期+G7 14:44 root, test パスワード変更　 14:45 怪しいfirewall 3つめと5つめ.... #### 岩崎 #### 湯浅 listenしているポート確認 ``` $ ss -antup | grep tcp ``` apacheサーバのログ ``` $ sudo tail -f /var/log/apache2/access.log ``` 攻撃元IPを特定する 接続元IP 192.168.0.101 192.168.0.102 192.168.0.103 192.168.0.105 192.168.0.106 192.168.0.107 192.168.0.108 192.168.0.110 192.168.0.113 192.168.0.120 ショッピングサイトの検索バーに脆弱性らしきもの http://www.d7.local/shop/html/products/list?category_id=&name=%27 でエラー SQLインジェクション(14:27:53) ``` 192.168.0.103 - - [01/Sep/2022:14:27:53 +0900] "GET /shop/html/products/list?login_email=taro@m.local&login_pass=yamadataro&name=1%27+or+%271%27+%3D+%271%27%3B+update+plg_customer_additional_info+set+question01+%3D+%27taro@m.local%27%2C+question02+%3D+%27yamadataro%27+from+dtb_customer+where+plg_customer_additional_info.customer_id+%3D+dtb_customer.customer_id+and+dtb_customer.email+%3D+%27anpan%40m.local%27%3B+-- HTTP/1.1" 200 11488 "http://www.d7.local/shop/html/products/detail/4" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79 Safari/537.36 Edge/14.14393" ``` クエリ ``` yamadataro&name=1' or '1' = '1'; update plg_customer_additional_info set question01 = 'taro@m.local', question02 = 'yamadataro' from dtb_customer where plg_customer_additional_info.customer_id = dtb_customer.customer_id and dtb_customer.email = 'anpan@m.local'; -- ``` ## 2セット目 ### h3役割分担 司令塔：渋谷 設定投入：黒木、荒木 監視：岩崎、湯浅 ### 作業ログ #### BANZAI ・バックアップを取得 ・hacked by anonymousと表示されたので、 　htmlをまるっと入れ替えたがすぐに表示されてしまった。 →何か変なプロセスが動いている？crontab？ #### 渋谷 hackedアノニマスの症状 →ページの改ざん →DBの改ざん →pgのPW変更 やりたいこと プロセス監視 cron監視 #### 荒木 passed変更 15:21 root, admin, ubuntu, user1-10, test 全員Hello07に変更 15:35 www-data Hello07に変更 15:40ごろから /var/www/nginx /var/www/htnlで 怪しいファイルを探す topで怪しい動きを探す #### 岩崎 15:20 192.168.0.103 ban 15:32 hacked.txt　www-dataというユーザーに作られる ファイアウォールや/var/www/html、tcpのlisten情報などを確認 次やりたいこと IMAPサーバーの設定を変更する #### 湯浅 phpmyadmin パスワード変更(15:30) admin'@'127.0.0.1:Zv7gB5Jy admin'@'192.168.%.% admin'@'localhost' root'@'127.0.0.1:Zv7gB5Jy root'@'192.168.%.%: root'@'localhost' sshのプロセス確認(15:47) 自分たち以外にもroot権限でssh接続してる人がいる？ ``` sudo lsof -i | grep "ssh" ... sshd 6245 root 3u IPv4 8379324 0t0 TCP www.d7.local:ssh->192.168.0.200:42210 (ESTABLISHED) sshd 6247 root 3u IPv4 8379330 0t0 TCP www.d7.local:ssh->192.168.0.200:42212 (ESTABLISHED) sshd 6272 user5 3u IPv4 8379324 0t0 TCP www.d7.local:ssh->192.168.0.200:42210 (ESTABLISHED) sshd 6286 root 3u IPv4 8379398 0t0 TCP www.d7.local:ssh->192.168.0.200:42214 (ESTABLISHED) sshd 6306 user2 3u IPv4 8379330 0t0 TCP www.d7.local:ssh->192.168.0.200:42212 (ESTABLISHED) sshd 6374 user3 3u IPv4 8379398 0t0 TCP www.d7.local:ssh->192.168.0.200:42214 (ESTABLISHED) sshd 11290 root 3u IPv4 8370214 0t0 TCP www.d7.local:ssh->192.168.0.200:42132 (ESTABLISHED) sshd 11314 user1 3u IPv4 8370214 0t0 TCP www.d7.local:ssh->192.168.0.200:42132 (ESTABLISHED) sshd 22484 root 3u IPv4 8484702 0t0 TCP www.d7.local:ssh->192.168.0.200:43340 (ESTABLISHED) sshd 22505 user5 3u IPv4 8484702 0t0 TCP www.d7.local:ssh->192.168.0.200:43340 (ESTABLISHED) sshd 24952 root 3u IPv4 8374140 0t0 TCP www.d7.local:ssh->192.168.0.200:42154 (ESTABLISHED) sshd 24984 user4 3u IPv4 8374140 0t0 TCP www.d7.local:ssh->192.168.0.200:42154 (ESTABLISHED) ``` 15:54 RCEができそうなコンテンツが作成されている PHPコード埋め込みプラグインを使用 ログを見る限りはこれを介した攻撃はやられてなさそう？  15:57 www.d7.local.152401が攻撃者なので削除  15:59 wordpressのadminユーザーのパスワード変更 admin:iVFtlCX^0oNzchCrXD#1gMm$ 3セット目やること - phpmyadminのadmin、rootパスワード変更 - wordpressのadminパスワード変更 - nginxのログも見る(`/var/log/nginx/access.log`) ## 3セット目 ### 作業ログ #### BANZAI ECCUBEのPW→admin7 webサービス立ち上げ phpmyadmin PWの変更 #### 渋谷 bkup apache2 html nginx crontab確認 プロセス確認 syslog確認 pgログ確認 #### 荒木 16:50前　posgre 9.5/main/ をバックアップ 16:50　落ちる 16:53 wordpress, eccube 不審なユーザはいない wordpress、ECCUBEで不審なユーザがいないか確認する /var/logのログを確認する #### 岩崎 firewallの設定変更 IMAPサーバーの設定変更 apacheの/etc/apache2/apache2.confの設定いじる(更新せず) #### 湯浅 16:32 wordpressパスワード変更 admin:CVsxH)y9AE63c4nV*fgwDHTl 16:32 ユーザーのパスワード変更 ``` $ sudo passwd [user] ``` root:q5V!e8M) user1-11:q5V!e8M) www-data:q5V!e8M) 16:42 phpmyadminのパスワード変更(Zv7gB5Jy) admin'@'127.0.0.1:Zv7gB5Jy admin'@'192.168.%.% admin'@'localhost' root'@'127.0.0.1:Zv7gB5Jy root'@'192.168.%.%: root'@'localhost' 16:48 怪しい投稿の削除  16:58 XSS攻撃の確認  17:15 ECCUBEのログをやっと発見 ``` $ cat /var/www/html/shop/app/log/site_2022-09-01.log ... [2022-09-01 17:12:36] eccube.INFO: > GET /shop/html/admin/ [] [] [2022-09-01 17:12:36] eccube.INFO: < 200 [] [] [2022-09-01 17:14:27] eccube.INFO: Matched route "admin_homepage". {"route_parameters":{"_controller":"\\Eccube\\Controller\\Admin\\AdminController::index","_route":"admin_homepage"},"request_uri":"http://www.d7.local/shop/html/admin/"} [] [2022-09-01 17:14:27] eccube.INFO: > GET /shop/html/admin/ [] [] [2022-09-01 17:14:27] eccube.INFO: < 200 [] [] ``` ## 振り返り