『ディレクトリトラバーサル』という閲覧禁止のブログ内ディレクトリへ侵入を試みる攻撃からWAF(ワフ:サーバーのセキュリティ)が守ってくれて。
攻撃者から見たら需要の多いWordPressはかっこうの的で、他人ではなく私にとつぜん降ってわいて。ネット上の脆弱性を狙った攻撃であって、WEBやプログラムの素人でも簡単にブログ運営できるから、そのへん無知なら穴でもあるんです。
ブルートフォースアタックの不正ログインからSiteGuard WP Pluginに守ってもらった次、この攻撃をWAFが侵入禁止して攻撃をかわしてました。誤認が面倒とセキュリティWAFを無効にしてたらどうなってたかな・・と思います。
狙われる前提でセキュリティ対策をしておかないとダメです。ディレクトリトラバーサルの攻撃がどんなもの。WAFが対処したこと。自分で出来る簡単なセキュリティ対策。常識だけど、どこまで浸透してるのか疑問ですので一度振り返ってみてくださいねっ。
ディレクトリトラバーサルって何なの?
ディレクトリトラバーサル
別名:ディレクトリトラバース,パストラバーサル,Path Traversal
【英】Directory Traversalディレクトリトラバーサルとは、ネットワーク上の脆弱性を利用した攻撃手法の一種で、「../」を利用してディレクトリを遡り、本来はアクセスが禁止されているディレクトリにアクセスする手法のことである。または、そのような脆弱性のことである。
ネットワーク上でディレクトリのパスを指定する際、「一つ上の階層へ上る」ことを指示する「../」のパスを組み合わせて指定することで、公開されているディレクトリの上階層から、その併置されている非公開のディレクトリへアクセスできてしまう場合がある。このような操作によって、個人情報や機密情報を盗まれたり、悪意あるコードを書き込まれたりといった被害を被る危険性が生じる。
ディレクトリをさかのぼる為のパラメーター『..』をURLに入れて閲覧禁止ファイルに不正アクセスする攻撃なんですね。トラバーサルは日本語で、横断や横切りを意味して、ブログ内のディレクトリを横切って不正アクセスを行なう攻撃になります。
仮にWordPressの重要ファイル『wp-config.php』へ侵入されたら、ブログ管理上の情報が集まったデータ収集管理基地みたいな『データベース』へ入るユーザー名やパスワードなどが知られてしまいます。
それだけじゃなく、サーバーのホスト名やCookie情報などなど詰まったファイルです。自ブログ情報へ侵入されて情報を別のものに書き換えられたり、変なコードを埋められ知らないうちに攻撃に加担。。とか”無きにしもあらず”ではないでしょうか。
WAFは誤認だけではない!攻撃を阻止した侵入ログを公開
WAFの誤認は、phpや投稿ページ更新でよく起こし、何度かあったらうっとうしくなって機能をOFFにしたくなりますよね。誤認は、SiteGuard WP Pluginの設定方法を替えればなくなっていきます。
ディレクトリトラバーサルの攻撃で閲覧禁止ファイルへの不正アクセスを防いだ『WAFって何!?』ってところからサクッとみてみましょうか。
攻撃の侵入を阻止したWAFとは、何か!?
レンタルサーバーのWebアプリケーションファイアウォール(ワフ)はロリポップやヘテムル、さくらなどで登用されてるは、セキュリティWAFで不正侵入をブロックしてデータの改ざんや個人情報を盗まれないように守るためです。
WAFは誤認があるけど、外部攻撃から守ってくれるセキュリティですからWAFの誤認が面倒でセキュリティをきってると、最悪攻撃されデータベースに進入されるかもしれませんよ。
- WAFとは
-
- Webアプリケーションファイアウォール(ワフ)サーバーが扱ってるファイアーフォールのこと
- 外部から閲覧禁止ファイルに不正侵入があれば、進入を禁止して外部攻撃から守るセキュリティ。不正アクセスを検知したら、攻撃をブロックし403 Forbidden(アクセス権がないから閲覧禁止)を出しアクセスを遮断する。
- WAFは最新の攻撃パターンを自動で更新してるから『WAF機能を有効ON』にしてる場合のみ不正侵入を遮断。
- 検知して遮断したアクセスは、WAF設定の『ログ参照』よりシグネチャを見れる。
- WAFが攻撃を検出し、不正アクセスを防いで403 Forbiddenをだしたシグネチャの例『traversal-1』
WAFが検知して侵入を防いだログを見ると、wp-config.phpからさか上って侵入しようとしてたり、テーマのdl-skin.php経由の攻撃などがあったので、次に参考まで攻撃履歴を書いていきますね。
wp-config.phpを起点の攻撃履歴
プラグインやテーマの脆弱性をついてwp-config.phpが狙われてるようですね。誰が狙われるなんてわからないし、攻撃を受けて何をされるのかわかりません。
変なプログラムを埋め込まれでもしたら、ブログを即停止して、データベースを入れ替えないとダメですからね。
wp-content/pluginsのパターン
wp-content/plugins/google-mp3-audio-player/direct_download.php?file=../../../wp-config.php wp-content/plugins/db-backup/download.php?file=../../../wp-config.php wp-content/plugins/tinymce-thumbnail-gallery/php/download-image.php?href=../../../../wp-config.php wp-content/plugins/pica-photo-gallery/picadownload.php?imgname=../../../wp-config.php wp-content/plugins/dukapress/lib/dp_image.php?src=../../../../wp-config.php wp-content/plugins/plugin-newsletter/preview.php?data=../../../../wp-config.php wp-content/plugins/simple-download-button-shortcode/simple-download-button_dl.php?file=../../../../wp-config.php
themesのパターン
wp-content/themes/churchope/lib/downloadlink.php?file=../../../../wp-config.php wp-content/themes/parallelus-mingle/framework/utilities/download/getfile.php?file=../../../../../../wp-config.php wp-content/themes/lote27/download.php?download=../../../wp-config.php wp-content/themes/parallelus-salutation/framework/utilities/download/getfile.php?file=../../../../../../wp-config.php wp-content/themes/NativeChurch/download/download.php?file=../../../../wp-config.php wp-content/themes/authentic/includes/download.php?file=../../../../wp-config.php wp-content/themes/linenity/functions/download.php?imgurl=../../../../wp-config.php wp-content/themes/epic/includes/download.php?file=../../../../wp-config.php wp-content/themes/urbancity/lib/scripts/download.php?file=../../../../../wp-config.php wp-content/themes/trinity/lib/scripts/download.php?file=../../../../../wp-config.php wp-content/themes/antioch/lib/scripts/download.php?file=../../../../../wp-config.php
テーマのdl-skin.phpからの侵入履歴
dl-skin.phpをついた攻撃例で、テーマを片っ端からとっかえひっかえ闇雲に入れ込んだ攻撃だと感じますね。
テーマのdl-skin.phpからのパターン
wp-content/themes/infocus/lib/scripts/dl-skin.php wp-content/themes/awake/lib/scripts/dl-skin.php wp-content/themes/echelon/lib/scripts/dl-skin.php wp-content/themes/dejavu/lib/scripts/dl-skin.php wp-content/themes/elegance/lib/scripts/dl-skin.php wp-content/themes/construct/lib/scripts/dl-skin.php wp-content/themes/method/lib/scripts/dl-skin.php wp-content/themes/persuasion/lib/scripts/dl-skin.php wp-content/themes/modular/lib/scripts/dl-skin.php wp-content/themes/myriad/lib/scripts/dl-skin.php wp-content/themes/fusion/lib/scripts/dl-skin.php wp-content/themes/infocus2/lib/scripts/dl-skin.php
攻撃からWordPressブログを守る6つの行動
誰でも簡単に始められるWordPressでのブログ運営人口も増えて、攻撃の的になりやすい部分を認識しておかないとダメなんですね。ブログを守るために、ほんの少しでも気を配ってください。
- ブログのバックアップをキチンととること。
- セキュリティ系プラグインを導入。
- テーマ、プラグイン、ワードプレス本体のアップデート
- 使ってないプラグイン、テーマの削除
- ログインパスワードの強化もあわせて実施
- WAFを有効化しておくこと!
この6つは脆弱性をついた攻撃からブログを守るための必須項目です。この6項目を10回書いて、届くなら10回書いちゃう!それくらい大事ってことに気付いてください。難しいことではないから最低限コレだけはやっておきましょうね、ホンマですよっ。
簡単にセキュリティ対策ができるプラグイン、サイトガードは、WAFの誤認を防ぐ設定まで付いてる有能なプラグインで初心者でも簡単にセキュリティを高める設定ができるから、すぐに導入してくださいね。
あとは、バックアップ。簡単にバックアップできるので怠らないようにしてれば、万が一のときブログを失うなんて事はありませんから。
LINK初心者向け!WordPressのバックアップ方法、記事をエクスポートする手順
LINK簡易的なバックアップ方法!初心者用WordPressファイル内の説明
さいごに
ブログを始めて、まさか自分のブログが狙われるなんて思ったことありません。どこか凄いサイトにそんな事起きるのかなぁ!?って他人事かも知れないです。だけど誰でも普通に狙われます。
- WAFの誤認が面倒で切ってませんか!?
- 誤認後、有効にするのを忘れてた経験ありませんか!?
- バックアップはとり忘れてませんか!?
- 更新されてないプラグインを、入れっぱなしにしてませんか!?
私はどれも経験あります。WAFの誤認のページをブログでいくつか書いてたおかげで、WAFを有効にしてて『ディレクトリトラバーサル』を防いでもらったし、攻撃があったことに気付いたんですよね。
ブログでWAF関連扱ってなかったら、気付かずにいたことでしょう。
WordPressを使ってるあなたも狙われる可能性は大きいです。バックアップとセキュリティ対策をしてれば、被害は最小限で済みますからっ!
自分の書いたブログ。人の評価の有無に関係なく大事な存在ってこと、誰でも同じですもんっ。ログインパスワードも強化して最低限の出来ることをやっておきましょうね♪
それでは、かうたっくでしたっ。
Comments