Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2014年1月3日

無料の iLogScanner で Web サーバーが攻撃されているかアクセスログから分析する

情報処理推進機構:情報セキュリティ:脆弱性対策:ウェブサイト攻撃の検出ツール

IPA が上記サイトで無料で公開している「iLogScanner」は、Web サーバーのアクセスログから、Web サーバーが攻撃を受けているかどうかを分析してくれるというツールです。

アクセスログから攻撃の有無を分析するのは、従来は専門的な知識が必要でしたが、この「iLogScanner」を使用すれば簡単に分析してくれます。

なお、アクセスログの分析は、アクセスログを IPA のサーバーに送信せず、パソコン上で行うのでセキュリティ上の問題はありません。

分析可能な攻撃は、以下の通りです。

  • SQLインジェクション
  • OSコマンド・インジェクション
  • ディレクトリ・トラバーサル
  • クロスサイト・スクリプティング
  • その他(IDS回避を目的とした攻撃)
    (注)IDS:侵入検知システム(Intrusion Detection System)
  • 同一IPアドレスからの攻撃の可能性
  • アクセスログに記録されないインジェクションの可能性
  • ウェブサーバの設定不備を狙った攻撃の可能性

また、対応する Web サーバーのログ形式も幅広いです。

log01

「iLogScanner」を動作させるには Java がブラウザ上で実行できることが必要で、動作環境は以下のようになっています。私は、Windows 8.1 + Internet Explorer 11 で動作させましたが、問題なく動作しました。

log02

では、実際に Web サーバーのアクセスログをパソコンに持ってきて、「iLogScanner」で分析をしてみましょう。

上記のサイト の中ほどに以下の画面があるので、「次へ」をクリックします。

log03

利用規約を確認し、「規約に同意して iLogScanner を起動する」をクリックします。

log04

分析するアクセスログの形式、アクセスログファイル、分析結果の出力先を指定して「解析開始」ボタンをクリックします。

log05

分析が終了すると、以下の画面が表示されます。攻撃の痕跡が検出されたようです。解析結果のレポートファイルとログファイルがあるので、詳細を確認します。

log06

解析結果レポートを確認すると、「その他」に 2 件検出されているようです。

log07

解析結果ログファイルの内容は以下のようになります。いかにもというリクエストですが、成功した可能性は高くないようなので、これは問題なさそうですね。

#解析結果ログの見方
#----------------------------------------------------------------
#[ログファイル名]
#[行番号] [脆弱性種別] [攻撃が成功した可能性が高い] [該当するアクセスログ] [シグネチャ対応コード]
#----------------------------------------------------------------
#※ 各項目はタブ区切りになります
#※ 攻撃が成功した可能性が高い場合、「●」がつきます
#以下、解析結果ログ

access_log
      9026    その他    -               66.249.xx.xx - - [30/Dec/2013:08:40:55 +0900] "GET /?cbp=h2k9eo0x6k2h HTTP/1.1" 200 4806 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3) AppleWebKit/535.19 (KHTML, like Gecko, Google Publisher Tools) Chrome/18.0.1025.151 Safari/535.19"    D053
      9028    その他    -               66.249.xx.xx - - [30/Dec/2013:08:40:56 +0900] "GET /?cbp=h2k9eo0x6k2h HTTP/1.1" 200 4806 "-" "Mediapartners-Google"    D053

Web サーバーのアクセスログ分析がこんなに簡単にできるので、Web サーバーのセキュリティレベルを向上させたい方は、是非、「iLogScanner」をご活用ください。


スポンサーリンク




カテゴリー:ツール

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA