カテゴリー: セキュリティ

ClamAVからVirus Foundのメールが来た

mogumagu 2016/12/262016/12/28 0

ClamAVからVirus Foundのメールが来た。

「発見」⇒「即削除」から「発見」⇒「通知」⇒「手動削除」のフローに変えてから
初めてメールが来たのでちょっと驚く。

対象ファイルはこれ。

/home/***/.composer/cache/files/symfony/symfony/74f61c9a4abb84d0995ee346f00aeb53f7cb1b12.zip: Win.Trojan.Toa-5372190-0 FOUND

「Dec 23, 2016, 3:45 PM」に更新された模様。

Signatures Published daily – 22765

キャッシュファイルだし、自分で触った際にできたファイルだから
問題無いと思うけど念のためダウンロードしてウイルスソフトでも検査。

大丈夫だったのでホワイトリストに入れるか検討する。

同じような人も発見
https://twitter.com/AndyBeak/status/812632192107106304

追記　2016/12/27

「Dec 25, 2016, 7:49 PM 」に「Dropped Detection Signatures: 」になった。
Signatures Published daily – 22778

で、新たに「Win.Trojan.Toa-5370166-0」が見つかった。。

/home/***/.composer/cache/files/phpunit/phpunit/72ee2dd5dce111bfd7824e8702ad764dd2d1f273.zip: Win.Trojan.Toa-5370166-0 FOUND

こっちも同様に困惑している人を発見
https://twitter.com/mayuco_maid/status/813560405175857153

数日様子を見る。

追記　2016/12/28

「Win.Trojan.Toa-5370166-0」は「Dec 26, 2016, 11:51 AM 」に「Dropped Detection Signatures: 」になった。
というかこの日は「Dropped Sigs: 11296 」ってどういうことなのか・・・。

Signatures Published daily – 22782

カテゴリー Linux, セキュリティ

Vagrant上のCentOS6にVulsインストール

mogumagu 2016/10/272016/10/27 0

Vulsインストール

Vagrant上のCentOS6にインストールを行ったメモ

公式のインストール方法：Vuls: VULnerability Scanner
SSHの設定をする

ローカルホストにSSH接続できるようにする。
SSHキーペアを作成し、公開鍵をauthorized_keysに追加する。

$ ssh-keygen -t rsa
$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys

Vulsに必要な以下のソフトウェアをインストールする。
– SQLite3
– git v2
– gcc
– go v1.7.1 or later

※gitはCentOS6のデフォルトだと1.7とかなので、そのまま入れてはいけない

How to Install Git 2.8.1 on CentOS/RHEL 7/6/5 & Fedora 23/22

$ sudo yum -y install sqlite git gcc
$ wget https://storage.googleapis.com/golang/go1.7.1.linux-amd64.tar.gz   <-時間がかかる
$ sudo tar -C /usr/local -xzf go1.7.1.linux-amd64.tar.gz
$ mkdir $HOME/go

/etc/profile.d/goenv.sh を作成し、下記を追加する。

$ sudo vi /etc/profile.d/goenv.sh
$ cat /etc/profile.d/goenv.sh
export GOROOT=/usr/local/go
export GOPATH=$HOME/go
export PATH=$PATH:$GOROOT/bin:$GOPATH/bin

カレントシェルに上記環境変数をセットする。

$ source /etc/profile.d/goenv.sh

go-cve-dictionaryのインストール

$ sudo mkdir /var/log/vuls
$ sudo chown mogu /var/log/vuls
$ sudo chmod 700 /var/log/vuls
$ mkdir -p $GOPATH/src/github.com/kotakanbe
$ cd $GOPATH/src/github.com/kotakanbe
$ git clone https://github.com/kotakanbe/go-cve-dictionary.git
$ cd go-cve-dictionary
$ make install

バイナリは、`$GOPATH/bin`いかに生成される
NVDから脆弱性データベースを取得する。
これは実行ユーザのホームディレクトリに「vuls」というディレクトリを掘ってその中に取得する方がやりやすい。

$ pwd
/home/mogu
$ mkdir vuls
$ cd vuls
$ for i in {2002..2016}; do go-cve-dictionary fetchnvd -years $i; done
$ pwd
/home/mogu/vuls
$ ll
total 680368
-rw-r--r-- 1 mogu mogu 592179200 Oct 21 10:11 cve.sqlite3
-rw-r--r-- 1 mogu mogu     32768 Oct 21 10:11 cve.sqlite3-shm
-rw-r--r-- 1 mogu mogu  22845432 Oct 21 10:11 cve.sqlite3-wal

vulsインストール

$ mkdir -p $GOPATH/src/github.com/future-architect
$ cd $GOPATH/src/github.com/future-architect
$ git clone https://github.com/future-architect/vuls.git
$ cd vuls
$ make install

Config

先ほど作った実行ユーザの「vuls」内に設定ファイルを記載する

$ pwd
/home/mogu/vuls
$ vim config.toml
$ cat config.toml 
[servers]

[servers.127-0-0-1]
host         = "127.0.0.1"
port        = "22"
user        = "mogu"
keyPath     = "/home/mogu/.ssh/id_rsa"

$ vuls configtest
[Oct 21 10:24:09]  INFO [localhost] Validating Config...
[Oct 21 10:24:09]  INFO [localhost] Detecting Server/Contianer OS... 
[Oct 21 10:24:09]  INFO [localhost] Detecting OS of servers... 
[Oct 21 10:24:10]  INFO [localhost] (1/1) Detected: 127-0-0-1: centos 6.7
[Oct 21 10:24:10]  INFO [localhost] Detecting OS of containers... 
[Oct 21 10:24:10]  INFO [localhost] Checking sudo configuration... 
[Oct 21 10:24:10]  INFO [127-0-0-1] sudo ... OK
[Oct 21 10:24:10]  INFO [localhost] SSH-able servers are below...
127-0-0-1

セットアップ

$ vuls prepare
INFO[0000] Start Preparing (config: /home/mogu/vuls/config.toml) 
[Oct 21 10:24:46]  INFO [localhost] Detecting OS... 
[Oct 21 10:24:46]  INFO [localhost] Detecting OS of servers... 
[Oct 21 10:24:46]  INFO [localhost] (1/1) Detected: 127-0-0-1: centos 6.7
[Oct 21 10:24:46]  INFO [localhost] Detecting OS of containers... 
[Oct 21 10:24:46]  INFO [localhost] Checking sudo configuration... 
[Oct 21 10:24:47]  INFO [127-0-0-1] sudo ... OK
[Oct 21 10:24:47]  INFO [localhost] No need to install dependencies

検査開始

    $ vuls scan -cve-dictionary-dbpath=$PWD/cve.sqlite3 -report-json

TUIで結果確認

$ vuls tui

Ctrl + cで閉じる

脆弱性があったのにtuiでは空で表示された場合はconfig.tomlと同じディレクトリに脆弱性データベースを落としていたか再度確認する。

カテゴリー Linux, Vagrant, Vuls, セキュリティ

【セキュリティ】2016/08/09一般向けまとめ

mogumagu 2016/08/09 0

一般社員向けのまとめ(読んでもらえるように10件以下に抑えてます

ニュース – 日本を標的にした攻撃が増加、2016年上半期のマルウエア動向：ITpro

セキュリティ・テクノロジー・マップ（5）：WAF／メールゲートウェイ――特定の攻撃を「検知」「防止」する技術の基礎（その2） – ＠IT

【確認方法あり】NexusもXperiaもGalaxyも影響あり 9億台ものAndroid端末に存在する「Quadrooter」脆弱性｜I believe in technology

半径300メートルのIT：“名もない中小企業”がランサムウェアの餌食になる理由 (1/2) – ITmedia エンタープライズ

【連載】MS ゆりか先生が教えるWindows 10 セキュリティのアレコレ [7] 大型アップデートでついに実装、期待の新機能「Windows Defender ATP」とは

カテゴリーセキュリティ

【セキュリティ】2016/08/08一般向けまとめ

mogumagu 2016/08/08 0

一般社員向けのまとめ(読んでもらえるように10件以下に抑えてます

ランサムウェア感染時の対処についての考察 – 日本のセキュリティチーム

MVNO悪用か、「荷受代行」「荷物転送」アルバイトで注意喚起 – ケータイ Watch

企業のインシデント対応訓練を行うボードゲーム形式の教材を無償提供 | トレンドマイクロ – まっちゃだいふくの日記★とれんどふりーく★

安全そうに見えるパスワードでも実は安全ではない理由（ライフハッカー［日本版］） – Yahoo!ニュース

これが現代テロリストたちの使うソフトウェア。金に糸目をつけない周到ぶり…｜ギズモード・ジャパン

カテゴリーセキュリティ

【セキュリティ】2016/08/05一般向けまとめ

mogumagu 2016/08/05 0

一般社員向けのまとめ(読んでもらえるように10件以下に抑えてます

備忘録: Webアクセスによるマルウェア感染の対策について

ASCII.jp：「ポケモンGO」のサーバーも標的に!? ネットワーク攻撃について知ろう

アップルがiOS 9.3.4配信開始。「すべてのユーザーに推奨」扱いの更新、カーネルのセキュリティ問題に対処 – Engadget Japanese

Android 4.3以前の「ブラウザ」アプリにサービス運用妨害（DoS）の脆弱性、10端末が対処未定 -INTERNET Watch

カテゴリーセキュリティ

【セキュリティ】2016/08/04一般向けまとめ

mogumagu 2016/08/04 0

一般社員向けのまとめ(読んでもらえるように10件以下に抑えてます

【セキュリティニュース】2016年2Qの標的型攻撃メールは35件 – PW付きrarファイルで検知回避狙う（1ページ目 / 全2ページ）：Security NEXT

SMSで「IDが一時的にロックされている。解除はこちら」と誘導：Apple IDの奪取を狙うSMSフィッシング詐欺が複数発生、どんな手口？ – ＠IT

偽警告このコンピュータへの不正侵入の試みが*回ありましたに注意！ ( その他コンピュータ ) – 無題な濃いログ – Yahoo!ブログ

「最近の偽装メールはここまでやらないと確認できないのか？」・・・という話 – Togetterまとめ

カテゴリーセキュリティ

【セキュリティ】2016/08/03一般向けまとめ

mogumagu 2016/08/03 0

一般社員向けのまとめ(読んでもらえるように10件以下に抑えてます

セキュリティマインドを持った企業経営ワーキンググループ

ユーザーのファイルをマルウェアやスパイウェアから守るMac用ツール「FlockFlock」がリリース。 | AAPL Ch.

ものになるモノ、ならないモノ（72）：日本の存亡を懸けた政府のIoT戦略。要は「セキュリティ」にあり (1/2) – ＠IT

カテゴリーセキュリティ

【セキュリティ】2016/08/02一般向けまとめ

mogumagu 2016/08/02 0

一般社員向けのまとめ(読んでもらえるように10件以下に抑えてます

「訴えてやる！」の前に読む IT訴訟徹底解説（30）：サーバ屋がデータを飛ばしただと？ 1億円払ってもらえ！ (1/3) – ＠IT

クラウドサービス固有の管理策を追加した「ISMSクラウドセキュリティ認証」を認定開始 – クラウド Watch

Androidのユーザーアカウントに不審なデバイスからのアクセスがあったらリアルタイムで通知が来る | TechCrunch Japan

グーグル、「google.com」にHSTSを実装–HTTPS強制で攻撃を阻止 – CNET Japan

NTTグループのセキュリティ専門会社「NTTセキュリティ」、8月1日より事業開始 – クラウド Watch

カテゴリーセキュリティ

【セキュリティ】2016/08/01一般向けまとめ

mogumagu 2016/08/01 0

一般社員向けのまとめ(読んでもらえるように10件以下に抑えてます

高島屋、421人分の顧客情報流出　データ消さずにPC売却 – ITmedia ニュース

ASCII.jp：緊急！今すぐお使いのAppleデバイスをアップデートしてください

STOP!!パスワード使い回し!!キャンペーン2016

カテゴリーセキュリティ

【セキュリティ】2016/07/29一般向けまとめ

mogumagu 2016/07/29 0

一般社員向けのまとめ(読んでもらえるように10件以下に抑えてます

観光庁、旅行業の情報流出でセキュリティ対策の全容発表、大手から中小業者まで | トラベルボイス

緊急！今すぐお使いのAppleデバイスをアップデートしてください : マカフィー株式会社　公式ブログ

Windows 10でプライバシーを守るためトラッキング機能を無効化する – 窓の杜

カテゴリーセキュリティ