WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”

投稿者： gucchi
カテゴリー： プログラム >セキュリティ

1月末に発生したWordpressの脆弱性を狙った攻撃による被害はかなりの規模に及んでいるようですね。
私が管理している一部のサイトも被害を受けたため、サーバ内のウイルスチェックやセキュリティ対策の見直しを行いました。
また、サーバに対して普段からどのような攻撃があるのか管理者としては把握しておきたいところです。

今回はWEBサーバのアクセスログを使ってウェブサイトへの攻撃を検出できるiLogScannerを使ってみたいと思います。
※Windows7上で動作させています。
尚、実行にはJava Runtime Environment 6 以上が必要となりますので、もしインストールされていない場合は事前にインストールしておきましょう。
https://www.java.com/ja/download/

iLogScannerのインストール

情報処理推進機構のウェブサイトからiLogScannerをダウンロードします。
http://www.ipa.go.jp/security/vuln/iLogScanner/

今回はオフライン版をダウンロードしました。
ダウンロードが完了したら解凍ツールでzipファイルを解凍します。
すると1_binというフォルダの中にiLogScanner.batというファイルがありますのでそれをダブルクリックします。
すると以下のようなウインドウが起動します。

インストールはこれだけで完了です。

攻撃を検出してみる

それでは攻撃があるかどうか確認してみましょう。
まずは確認したいWEBサイトからWEBサーバのアクセスログを取得します。
今回はApache2.2の環境のものを使用しました。

(1)アクセスログ形式はApache1.3系/2.0系/2.2系/2.4系のcommonタイプを選択。
(2)解析対象アクセスログファイル名はPC上に保存した場所を指定します。
(3)出力先ディレクトリはPC上の任意の場所を指定します。
(4)そして解析開始ボタンをクリックします。

すると以下のような解析結果画面が表示されます。
※画面が大きいので重要な部分だけ抜粋して表示しています。

まとめ

幸い今回のチェックでは攻撃が成立しているケースは確認されませんでした。
しかしこういった攻撃の兆候は意外と多いもので自らが加害者とならない為にも、定期的なチェックが必要だと感じました。
まだ使ったことのない方は是非ご自身の管理されているWEBサイトをチェックしてみる事をおすすめします。