# インシデント調査（LC4RI風）


TBD：前口上を書く


# 事前準備

環境変数で、時刻をJSTに、ラッパーカーネルの機能を有効にする。

In [None]:
%env TZ JST-9
%env lc_wrapper_force on

必要なモジュールをインストールしておく。

In [None]:
!sudo apt-get update
!sudo apt-get upgrade -y
!sudo apt-get install -y sysv-rc-conf iproute2 kmod lsof nmap netcat

In [None]:
!pip install -U pip
!pip install pip-review
!sudo -H pip-review --auto
!pip install parse

システムの負荷状態を記録しておく。

In [None]:
import datetime
JST = datetime.timezone(datetime.timedelta(hours=+9), 'JST')

import parse

uptime_list = []

uptime_str = !uptime
uptime_clumn = parse.parse("{}load average: {:g}, {:g}, {:g}", uptime_str[0])
uptime_clumn = list(uptime_clumn)[1:]
uptime_clumn.insert(0, datetime.datetime.now(JST))
uptime_list.append(uptime_clumn)
print(uptime_list)

# ライブレスポンス

参考：[インシデントレスポンス 第3版（日経BP社）](https://www.amazon.co.jp/dp/4822279871/) p179

但し、本来は、調査対象ホスト上で実行すべき作業であるが、本ノートブックでは簡易なデモとして、Jupyterのコンテナ自身に対して作業を行う。

<font color="Red">前提条件を満たしていないと失敗する確認用のセル（Design By Contract）</font>

使用するコマンド類が使えることを確認する。

In [None]:
!which sysv-rc-conf
!which ip
!which lsmod
!which lsof

システムの日付と時間

In [None]:
!date

<font color="Red">再利用性が高く、実行結果が安定している場合、実行結果をお手本に残す</font>

インストールされているソフトウェア

In [None]:
%env lc_wrapper_force off

In [None]:
!dpkg --get-selections

In [None]:
%env lc_wrapper_force on

ファイルシステム情報

In [None]:
!mount -l

In [None]:
!df -Th

In [None]:
!fdisk -l

OSのバージョン

In [None]:
!cat /etc/issue

カーネルのバージョン

In [None]:
!uname -a

稼働時間

In [None]:
!w

cron

In [None]:
!find /var/spool/cron -type f -print0 | xargs -0 more | cat

In [None]:
!find /etc/cron.* -type f -print0 | xargs -0 more | cat

サービス

In [None]:
!sudo sysv-rc-conf --list

ユーザアカウント

In [None]:
!cat /etc/passwd

In [None]:
!sudo cat /etc/shadow

グループ

In [None]:
!cat /etc/group

ネットワークインタフェース

In [None]:
!ip a

In [None]:
!ip -s l

ルーティングテーブル

In [None]:
!ip r

ARPテーブル

In [None]:
!ip n

ネットワーク接続

TCPとUDPそれぞれ

In [None]:
!ss -nat

In [None]:
!ss -nau

ロードされているドライバ

In [None]:
!lsmod

オープン中のファイルとハンドル

In [None]:
!lsof

実行中のプロセスとスレッド

In [None]:
!ps auxwwwem

設定情報の保全

In [None]:
!rm -f host_etc.tar.gz ; sudo tar cvzf host_etc.tar.gz /etc/ ; ls -la host_etc.tar.gz

システムログの保全

In [None]:
!rm -f host_log.tar.gz ; sudo tar cvzf host_log.tar.gz /var/log/ ; ls -la host_log.tar.gz

ファイル一覧

In [None]:
!rm -f host_files.txt ; sudo find / -xdev -printf "%m;%Ax;%AT;%Tx;%TT;%Cx;%CT;%U;%G;%s;%p;\n" > host_files.txt
!ls -la host_files.txt

シェルの履歴をhistoryで取る必要があるが、本デモでは、Jupyterの仕様上、割愛する。

システムの負荷状態を記録しておく。

In [None]:
uptime_str = !uptime
uptime_clumn = parse.parse("{}load average: {:g}, {:g}, {:g}", uptime_str[0])
uptime_clumn = list(uptime_clumn)[1:]
uptime_clumn.insert(0, datetime.datetime.now(JST))
uptime_list.append(uptime_clumn)
print(uptime_list)

# サーバの調査

## システムログを洗う

各種ログに含まれる「error」を確認する。

In [None]:
!find /var/log/ -type f -print0 | sudo xargs -0 grep error

各種ログを他のキーワードでも検索してみよう。

In [None]:
!find /var/log/ -type f -print0 | sudo xargs -0 grep 他のキーワード

システムの負荷状態を記録しておく。

In [None]:
uptime_str = !uptime
uptime_clumn = parse.parse("{}load average: {:g}, {:g}, {:g}", uptime_str[0])
uptime_clumn = list(uptime_clumn)[1:]
uptime_clumn.insert(0, datetime.datetime.now(JST))
uptime_list.append(uptime_clumn)
print(uptime_list)

## httpサーバの動作を確認する

外との通信に使われているネットワークインタフェースについて、空いているポートの確認を行う。

<font color="Red">前提条件を満たしていないと失敗する確認用のセル（Design By Contract）</font>

使用するコマンド類が使えることを確認する。

In [None]:
!which nmap
!which nc

In [None]:
!nmap -p1-65535 eth0に付いているIPアドレス

空いてるポートがhttpに反応するか確認する。

In [None]:
!echo "GET / HTTP/1.1\n\n" | nc -w 1 eth0に付いているIPアドレス 空いているポート番号

[HTTPステータスコード](https://ja.wikipedia.org/wiki/HTTP%E3%82%B9%E3%83%86%E3%83%BC%E3%82%BF%E3%82%B9%E3%82%B3%E3%83%BC%E3%83%89)を参考にhtmlのコンテンツが得られるまで追いかけてみる。

In [None]:
!echo "GET 取得したいURL HTTP/1.1\n\n" | nc -w 1 eth0に付いているIPアドレス 空いているポート番号

In [None]:
!echo "GET 取得したいURL HTTP/1.1\n\n" | nc -w 1 eth0に付いているIPアドレス 空いているポート番号

追いかけた後で、wgetの出力を見ると、ブラウザがコンテンツを取得するまでの振る舞いが理解できる。

In [None]:
!wget -O - http://eth0に付いているIPアドレス:8888

システムの負荷状態を記録しておく。

In [None]:
uptime_str = !uptime
uptime_clumn = parse.parse("{}load average: {:g}, {:g}, {:g}", uptime_str[0])
uptime_clumn = list(uptime_clumn)[1:]
uptime_clumn.insert(0, datetime.datetime.now(JST))
uptime_list.append(uptime_clumn)
print(uptime_list)

## 調査作業時のシステムの負荷状態を確認する

各作業終了時に[uptime](https://ja.wikipedia.org/wiki/Uptime)の結果をuptime_listに保存してきた。

In [None]:
print(uptime_list)

これをグラフ化する。

In [None]:
import pandas
import matplotlib

In [None]:
%matplotlib inline

In [None]:
df = pandas.DataFrame(uptime_list, columns=["date", "1m", "5m", "15m"])
df = df.set_index("date")
df

In [None]:
df.plot()