IPAが紹介している攻撃兆候検出ツール「iLogScanner」なるものがあるらしく、気になったので使ってみました。アクセスログから攻撃された形跡が無いか調べてくれるので便利でした。
誰かの役に立てるかな。紹介させて頂きますね。
Webサイトの確認
まずIPAの紹介ページに行きました。こんなかんじです。画面下の、フォントに突っ込みたくなるボタンからダウンロードをして確認しましょう。
Zipを展開してみると、、
嗚呼、、バイナリがJavaじゃん…。しかたないので、環境を整えたく思います。
動作環境を確認してみるのですが、さすがIPA、Javaの実行環境はOpenJDKの11以上らしい。
ちなみに、同ページ内の解析対象のログ形式も記載をしておきます。
ということで、OpenJDKの16のZIp版をダウンロードして、Cドライブ直下に展開した上でbinディレクトリをPATH追加しました。起動するかな…。
iLogScanner起動してみた
起動したー。そして、oh..、案の定のJavaチックな画面。
access_logをスキャンしてみた
どうなるかな。種別を選択して、ファイルを選んで、解析開始ボタンですね。
エラーが出た。だめじゃん。ログフォーマットをカスタマイズしているからダメなのかな。
アクセスログフォーマットを指定して、再解析
httpd.confに書いていたLogFormatの行を、そのままこの画面にコピペしてみました。そして、再度「解析開始」ボタンを押下!攻撃されていることがわかったら嫌だなぁ…と若干緊張しながらのボタン押下です。
解析結果出ました。
おお!今回は大丈夫そうですね。よかった〜。
攻撃が検知された際の結果レポート
ついでに他のログも見ていたところ、9件攻撃検知されていることを確認したので載せておきます。html形式で出るので見やすいですね。一番下の段に実際のログと判定が出ます。(今回はSQLインジェクションでしたが、メンテで行った既知の内容でしたので不問としました。ほっとしました)
まとめ
便利なので、ログローテートするタイミングとか、日次とかで確認できると、よりサーバ運用の安心感に繋がりますね。インシデントが起こった際にはどれくらい早く気づけるかは重要ですので。