WEBサイトの改ざんを常時監視
WEBサイト改ざんに対する備え
ガンブラーやクラッカーによるWEBサーバ攻撃対策、色々とサーバエンジニアやウェブマスターは気をつけなければならないのですが、対策はどのようにされてますでしょうか。
一般公開しているWEBサイト(HTTP)は、ファイアウォール(UTM)を利用してアクセス制限などで改ざん防止をするのは困難だったり、外部のチェックサービスなどではサイトページ数が多い場合に数時間に一度のチェックとなるため、改ざんが発覚するまでにタイムラグを生じることもあり、その間に仕組まれたウイルスファイルが流布されてしまう可能性もあります。
「ガンブラー? ガンプラだったらむかし結構つくったよ。」なんて冗談も言えなくなるくらい深刻な社会問題となっています。
今日は、WEBサイトの不正な改ざんを常に監視し、外部からの攻撃、内部不正侵入による改ざんをリアルタイムに検知するソフトウェア、「ギデオン リアルタイム スキャン」を紹介したいと思います。
ギデオン リアルタイム スキャン
「WEBサイトの改ざんを常時監視。3分でサーバへのインストールが完了。万一改ざんされた場合、リアルタイムに自動リカバリ。」とのキャッチコピー。
特徴として、改ざん検知と修復はシステムリソースにも適用可能で、システムリソースの変更、WEB改ざんという通常の改ざん手口を元からシャットアウトできる。
コマンド連携設定で追跡調査情報の入手にも有効、これはどういうことかというと、改ざん検知時に管理者に任意のコマンド実行結果を通知可能で、psやnetstatコマンドなどを連携させて追跡調査のための入手可能。
システム要件
Linux OSで稼働するKernel 2.6.13以降のシステム。
- Debian 4/5/6
- Redhat EL 5/6
- Cent OS 5/6
- SUSE 10/11
- Turbolinux 11(TLAS 3.0)
- CPU:Pentium 4以上
- RAM:1GB以上
- ハードディスク空容量:300MB以上(バックアップ領域は除く)
ギデオン リアルタイム スキャンのインストール
上記のシステム要件を満たしていればインストールも難なくできると思います。私がいつも利用しているサーバOSはDebian 6なので、Debian 6でインストールを試してみました。正直言いますとメモリが512MBしか搭載していないマシンなので、リアルタイム スキャンを常駐させているとメモリがスワップアウト しますが、動作は問題ないようです。
インストール手順は製品CDをドライブに入れ、rootユーザで以下のコマンドをタイプします。
# mount /mnt/cdrom
# ./ginstall -F -M N -P RTV
※ 製品CDの中身をサーバ上にアップロードしてもインストールできます。
約3分程でインストールが完了します。簡単ですね!
アンインストールする場合は、以下のコマンドをタイプ。
# /usr/local/gwav/ginst/guninstall -F
管理GUI

RealtimeScan Login
次に、管理GUIを起動します。管理GUIはブラウザでアクセスでき、「777」と「999」が使用されます。「999」はSSL通信なので、999の方がお勧めです。
# /usr/local/gwav/gwav-gui-control
==== GUI setting ====
Use web-interface for anti-virus (Yes/No) [No]: y
Starting mini_httpd: [ OK ]
Starting mini_httpsd: [ OK ]
[ OK ]の表示を確認したら、ブラウザでアクセス。
例)https://antivirus.gideon.co.jp:999/rtscan/

動作確認テスト
ウイルスに感染した時の動作チェックをするためのサンプルも製品CD内に入っていますので、WEBサイトのドキュメントルートにサンプルファイルをコピーしてみます。
# ls -l /mnt/cdrom/sample/eicar.com
-r–r–r– 1 root root 68 Jan 18 04:46 /mnt/cdrom/sample/eicar.com
# cp /mnt/cdrom/sample/eicar.com ドキュメントルート
ドキュメントルートに「eicar.com」という検証用のサンプルファイルを置いて直ぐにウイルスを検知し、管理ツールのリアルタイム監視ログにその旨、表示されます。
常に管理GUIでチェックしている人なんていないでしょう? だから全体設定で通知メールアドレスを設定していれば、感染を知らせるメールが飛んできますので、ほぼリアルタイムで感染を知ることもできます。

ウイルス感染時の動作確認
感染した後の「eicar.com」はどうなるのかと確認してみると、コピー前のファイルサイズは68バイトだったのが、ドキュメントルートにコピーした直後に0バイトになり、存在しているだけで無害なファイルとなっていました。
# ls -l ドキュメントルート/eicar.com
-rw-r–r– 1 root root 0 Mar 1 21:45 ドキュメントルート/eicar.com
管理GUIの全体設定で隔離先ディレクトリを指定しているので、そのディレクトリを確認すると、
# ls -l /usr/local/gwav/rtscan/isolat
-rw-r–r– 1 root root 68 Mar 1 21:45 %2f~%2feicar.com.2012-03-01-21-45-05
という具合に、ちゃんと元のファイルが証拠として隔離されていました。動作原理は、ギデオン リアルタイムスキャンの動作に詳しく書かれています。
さらなる証拠
先にも書きましたが、何らかのイベントが発生した時、GIDEON RealtimeScanはコマンドを使って通信状態やプロセスを記録しエビデンスを残す機能があります。

セキュリティポリシー自動的用
サンプルファイルの「eicar.com」を別の方法で設置してみたりしてセキュリティポリシー自動適用ログを見たら、「うわ〜っ こりゃあ悪いことはできないわ!」と思うようなログもしっかり残ります。
インストール簡単で、シンプル、しっかり証拠を残してくれる。しかも導入と運用コストを低く抑えられるギデオン リアルタイム スキャン、いいですコレ!
この記事へのコメントはありません。