当社はIT技術のオンライン教育を得意としたセミナー専門会社です。 | 一戸英男

ITエンジニアの技術力UPをお約束します。

ウィルス、スパイウェア感染の被害程度で救済かサイトの移転(新規構築)を判断

ウィルス、スパイウェア感染の被害程度で救済かサイトの移転(新規構築)を判断


年末に近づいて、沢山サイトが攻撃されています。残念ながらセキュリティ被害は増える一方です。本日は感染してしまったサイトが助けられるか助けられないのかの判断基準について話をしようと思います。

もっとも多い侵入経路は何?

それはずばり、ログイン情報の辞書パスワード攻撃(専門的には Brute-force attack と呼んでいます。)からです。パスワードを自分の名前にちなんだパスワード。子供、奥さんの名前由来のパスワード、会社の名前由来でパスワード。それらに付加して123をつけたりと意外と幼稚なパスワードをつけてる方が圧倒的に多いです。そりゃ簡単に破れてしまいます。CMSの管理画面を破ったり、SSHターミナル接続を破ったりクラッカーは自動スクリプトで弱そうなサイトを見つけて攻撃してきます。次に多いのがWORDPRESSの場合、プラグイン、テーマの中に仕込まれているケースが多い。セキュリティソフトが実は侵略ソフトのケースも結構あります。常に疑いの目で見たほうが良いです。

クラッカーは侵入後にすぐに改竄やダウン、感染を行うのか?

以前とは違い、ゆっくり時間をかけて感染を行っているケースが多いように思います。具体的にアクションするのは3ヶ月後、4ヶ月後とか。感染したサイトを見て思うのは、外から感染したのがわからないように感染させています。これだとグーグルやブラウザーは感知できないですね。もちろん生のサイトフォルダーをスキャンさせれば検知できますが表面検査では見つかりません。WORDPRESSに関して言ってしまうとプラグインのウィルス検知ソフトはどれを使っても役に立ちません。断言します。ウィルス、スパイウェア感染のほうがもっとハイレベルで感染させていますし、ファイル権限の関係でプラグインで調べられる限界もあるのかなと思います。また、サイトオーナーが知らないように感染させている最大の理由は、あなたのサイトを侵略の前線基地にしたいからかもしれません。つまり加害者になっている可能性が高い。大切な侵略基地を改竄なんかしません。但し、自動スクリプトで仕込むため失敗して侵略がバレてしまうケースも沢山あります。

巧妙な感染とは?

PNG画像のコメント情報欄にHASH化したプログラムコードを挿入したり、従来からある平凡なシステムファイルに感染コードを埋め込んでいるケースが多いです。それも外部のプログラムコードを読み込ませて実行させたり、最小限にばれにくいように感染コードを挿入しています。プログラムファイル名が画像の拡張子であることもよくあります。またjsコードの難読化にまぎれて改竄コードやアップロードコードが含まれているケースはあります。ダミーの感染ファイルを沢山用意して撹乱も行っているため、作業者がそれを除去して安心させるというケースもよくあります。

ちょっとレベルが違う感染の場合

低レベルの感染はテーマファイル、uploadsフォルダー、プラグインのレベルです。ミドルレベルになってくるとドキュメントルート直下やWORDPRESSならwp-adminやwp-includesのフォルダーへの感染です。もう巧みすぎてタイムスタンプまで変更するので見分けがつきにくい。私はファイルサイズで比較して改竄を見分けます。でもファイルの数が多すぎて限界はあります。AIプログラムでスキャンしてある程度候補にあがったファイルを目見でチェックして除去します。感染がわかっても除去できないケースももちろんあります。すごいレベルの感染はドキュメントルートのひとつ上の階層まで行きます。このケースでは他のサイトのコンテンツまで感染します。この場合はすぐにお客様へ感染除去は諦めて、新サーバ移転を勧めます。直すだけ無駄なので即サーバ移転しましょう。

サーバ移転する場合の注意

新規に作る場合で多いのは感染とは関係なさそうな画像ファイルの流用でなかろうかと思いますが、画像ウィルススキャンに強いソフトでしっかりチェックしてから流用しましょう。テキストファイルも下部にバイナリー埋め込んでいる場合もあるので極力流用はやめたほうが良いです。できる限り新規作成で移転サーバ、コンテンツを構築すると良いです。

タグ: , , , , , , ,

よくある詐欺Spamメールの手口


最近メールの乗っ取りや大量スパム配信でメールサーバを窒息させ異常動作させる攻撃が巷にいつも以上に増えてきたように思います。その中で幾つか参考になるポイントをお話したいと思います。

「あなたのサイト乗っ取りました」のようなケース

このケースでは、ついついメールを読んでその中のエビデンス(ハックした証拠)のURLが埋め込まれています。実はリンクを踏ませるための嘘なんですがね。そのURLを訪れると何らかの情報が盗まれたり、埋め込まれると思ってください。あやしいメールはすぐゴミ箱か削除してください。下手にWEB開いてしまうと感染したりランサムウェアを仕込まれたりするかもしれません。またそっくりサイトを踏ませてログインを盗む可能性もあると思います。

第三者中継リレー対策してもDDoS攻撃の前では無力になる可能性も

今では、ほとんどのメールサーバが第三者中継リレー対策していて当たり前なんですが、その過信にご用心。メールのDDoS攻撃が行われると出来ないはずのことも出来てしまいます。メールのセキュリティ対策もWEB同様に総合的に考えて対策が必要です。

メールのDDoS攻撃の対策方法は?

ずばり、メールサーバの受け付けられる量の制限です。例えば同じIPからの単位時間あたりのセッション数や、1セッションあたり一度に送れるメールの通数等がそれに相当します。これらの制御をおこなってください。smtpサーバによってはこの設定がないケースもあるのでiptablesやfail2banを特にカウントを取ってBANする様にコントロールしてください。ちなみにpostfixにはこれらの制限するパラメータが存在します。postfixのmaster.cfに記述するパラメータで制御が行なえます。例えば/etc/postfix/tarnsportに制限対象のドメインを設定し、その内容を/etc/postfix/main.cfと/etc/postfix/master.cfで流用制限をかけると効果的です。

Postfixの場合の流入制限設定のサンプル

/etc/postfix/transportの例

/etc/postfix/master.cfの例

/etc/postfix/main.cfの例

タグ: , , , , , ,