このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

tripwireの結果 このメッセージに返信する
日時: 2015/01/29(Thu) 11:59
名前: asdjack
URL:
始めまして。
tripwireの報告を確認したところ大量のファイルが追加または変更されたとの
結果がありました。
Rule Name Severity Level Added Removed Modified
--------- -------------- ----- ------- --------
Invariant Directories 66 0 0 0
Temporary directories 33 0 0 0
* Tripwire Data Files 100 1 0 0
Critical devices 100 0 0 0
* User binaries 66 815 0 501
Tripwire Binaries 100 0 0 0
* Critical configuration files 100 80 4 237
* Libraries 66 5284 7 3109
* Operating System Utilities 100 1 0 31
* Critical system boot files 100 12 0 6
* File System and Disk Administraton Programs
100 0 0 31
* Kernel Administration Programs 100 0 0 3
* Networking Programs 100 0 0 37
* System Administration Programs 100 0 0 13
* Hardware and Device Control Programs
100 0 0 4
* System Information Programs 100 0 0 2
* Application Information Programs
100 0 0 1
* Shell Related Programs 100 0 0 1
* Critical Utility Sym-Links 100 0 0 6
* Shell Binaries 100 0 0 3
* System boot changes 100 5022 35 55
* OS executables and libraries 100 106 0 425
* Security Control 100 1 0 15
* Login Scripts 100 0 0 5
* Root config files 100 3590 31 4

Total objects scanned: 25999
Total violations found: 19478
変更内容は多すぎるので省略します
前日にpostfixなどメール関係の設定を見直したのですが
"/usr/sbin/httpd"
"/usr/sbin/chroot"
"/usr/sbin/clamd"
"/usr/sbin/sshd"
などもModifiedに含まれていました。
chrootkitでは改ざんは検出されませんでしたが
これは侵入されたものと見てよいのでしょうか?


バージョン:tripwire-2.4.2-src
CentOS release 6.5 (Final)  
2.6.32-431.11.2.el6.x86_64
x86_64 x86_64 x86_64 GNU/Linux
記事編集 編集
Re: tripwireの結果 このメッセージに返信する
日時: 2015/01/29(Thu) 13:44
名前: 通りすがり
URL:
>これは侵入されたものと見てよいのでしょうか?

こういう検地って前のデータと今のデータを比較して
前回と違うと検出する。
例えば何かをyumでインストールすると当然前と違うので検地します。
しかし、心当たりがあるので進入されたとはおもいません。
CentOS6.5で運用してるみたいですが、
現在は6.6ですから大量のアップデータがあったのではないのですか?

また、進入されたと思うのなら/var/log/secureにログが残ってると思います。
またlastコマンドなんかでもいいでしょう。
そういうので調べてみてください。
記事編集 編集
Re: tripwireの結果 このメッセージに返信する
日時: 2015/01/29(Thu) 15:27
名前: stranger
URL: http://ja.528p.com/
tripwireの設定ファイルの説明
日本語で説明されているサイトはあまりないので
http://www.atmarkit.co.jp/ait/articles/0407/23/news090_2.html

- プロパティをチェックしない
+ プロパティをチェックする
a アクセス時刻(ファイルへのアクセス時刻が変更)
b ブロック割り当て番号
c iノードの時刻
d iノードが存在するデバイスのID
g ファイルのグループID(gid)
i iノード番号
l サイズが増加したファイル
m 修正時刻(ファイルの修正時刻が変更)
n リンク番号(iノードの参照回数)
p ファイルパーミッション
r iノードによって示されるデバイスID
s ファイルサイズ
t ファイルタイプ
u ファイルの所有者ID(uid)
C CRC-32ハッシュ値
H Havalハッシュ値
M MD5ハッシュ値
S SHAハッシュ値

これらを組み合わせてチェックしているそうです
記事編集 編集
Re: tripwireの結果 このメッセージに返信する
日時: 2015/01/31(Sat) 10:48
名前: asdjack
URL:
通りすがり様
stranger 様 回答ありがとうございます。

スクリプトなどを調べたところ、ポリシーファイルの更新をしておらず
tripwireを導入して以降のアップデートや追加ファイルがすべて検出されていたと判明しました。

とりあえずyumのアップデートをした直後にちゃんとポリシーファイルが更新されるようにし、
様子を見ることにしました。

chrootkitoでは何も検出されず、lastコマンドを調べたところ心当たりの無いところからのログインは
見受けられなかったのですぐに再インストールはしないことにしました。

ログや結果は日ごろからちゃんと見ておかないとだめですね…
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -