| Security Tips | ||
 |
不審なプロセスを調査する りょうわ あきら |
|
システム管理作業中にふと見ると、幸か不幸か不審なプロセスを見つけてしまった。そんなときの調査手順に盛り込んでおくと役に立つのが、strace(Linuxなど)やtruss(Solaris)などのデバッグコマンドによる調査である。
root権限があればstraceやtrussコマンドを使用して任意のタスクに対して、そのタスクにおけるシステムコールの実行状況を表示させることで、そのタスクが「何をしようとしているか?」を突き止められる場合がある。例えば、不審な時刻にシェルにログインしているユーザーを発見したとしよう。
[root@voyager admin]# who |
この際、Linuxであれば、straceコマンドを用いてexecve()システムコールを監視することでこの不審なユーザーがシェルで何のコマンドを実行しているのかをモニターすることができる。
[root@voyager admin]# strace -f -e execve
-p 26787 |
Solarisであれば、trussコマンドがあれば、次のように実行することでほぼ同じ結果が得られる。
# truss -fa -t execve -p 26787 |
-eオプション(strace)や-tオプション(truss)で指定するシステムコールを変えることで、例えばopen()システムコールを監視するのであれば不審なユーザーがどのファイルをオープンしようとしているのかをチェックすることができるし、unlink()システムコールを監視すれば不審な一時ファイルを隠そうという試みや、システムファイルを削除しようという破壊工作の試みを検出することができる*1。
| *1 あくまでも「リアルタイムでの監視」が可能なのであって、防止できるわけではない点は注意してほしい。 |
このようなデバッグ関連コマンドは、システム上の不審動作をチェックするのに重宝する。使い方を覚えておいて損はないだろう。ただし、使い方を誤るとユーザーのプライバシー侵害、システム障害にもつながりかねない危険性があるコマンドであるため、使用には十分慎重を期していただきたい。
 |
Security Tips Index |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
