ウサギは後退せず、大きな耳で情報集めをする事に験を担ぎ、古来より日本では鎧などにウサギの図柄を取り入れてきたらしい。
読者です 読者をやめる 読者になる 読者になる

うさブロ

ぼっちなうさぎのセキュリティラボ

Apache Struts2用のMetasploit Moduleを使う【復習編】

Apache Struts ubuntu

【準備編】で環境を作り、【攻撃編】で実際に検証してみた。

では、この結果を現場に反映させるには?というツッコミをいただいたので攻撃を受けた側の痕跡を探してみた。

 

まず、攻撃の痕跡について書いてあったサイトがあったので参考にした。

www.lac.co.jp

この中で攻撃の痕跡の確認というのがある。

一般的な攻撃の痕跡の確認(不審なユーザの存在や不審なプロセスの確認)に加え、ウェブサーバのログに以下のような文字列が含まれていないか確認してください。

GET /XXXXXXXX.action?method:%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS%2c% (略)

GET /XXXXXXXX.action?method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23a%3d (略)

POST /XXXXXXXX.action?method:%23_memberAccess%20%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23a%3d(略)

GET /XXXXXXXX.action?method:(%23_memberAccess).setExcludedClasses(@java.util.Collections@EMPTY(略)

※POSTリクエストはログが残らない可能性があります
※XXXXXXXXは任意のファイル名が入ります 

 

同じようなログが残っていないか自身の検証環境で確認してみたところ以下に場所で確認できた。

 /var/log/tomcat7/localhost_access_log.2016-05-06.txt(日付はexploitした日)

中身を確認したところexploitを仕掛けたページに対してのログが残っていた。

f:id:appleseedj073:20160506231403p:plain

確かに不審な文字列・・・。

でも、見つけられるかな?ちょっと自信ない(ー ー;)