当社はIT技術のオンライン教育を得意としたセミナー専門会社です。 | 一戸英男

ITエンジニアの技術力UPをお約束します。

ウィルス、スパイウェア感染の被害程度で救済かサイトの移転(新規構築)を判断

ウィルス、スパイウェア感染の被害程度で救済かサイトの移転(新規構築)を判断


年末に近づいて、沢山サイトが攻撃されています。残念ながらセキュリティ被害は増える一方です。本日は感染してしまったサイトが助けられるか助けられないのかの判断基準について話をしようと思います。

もっとも多い侵入経路は何?

それはずばり、ログイン情報の辞書パスワード攻撃(専門的には Brute-force attack と呼んでいます。)からです。パスワードを自分の名前にちなんだパスワード。子供、奥さんの名前由来のパスワード、会社の名前由来でパスワード。それらに付加して123をつけたりと意外と幼稚なパスワードをつけてる方が圧倒的に多いです。そりゃ簡単に破れてしまいます。CMSの管理画面を破ったり、SSHターミナル接続を破ったりクラッカーは自動スクリプトで弱そうなサイトを見つけて攻撃してきます。次に多いのがWORDPRESSの場合、プラグイン、テーマの中に仕込まれているケースが多い。セキュリティソフトが実は侵略ソフトのケースも結構あります。常に疑いの目で見たほうが良いです。

クラッカーは侵入後にすぐに改竄やダウン、感染を行うのか?

以前とは違い、ゆっくり時間をかけて感染を行っているケースが多いように思います。具体的にアクションするのは3ヶ月後、4ヶ月後とか。感染したサイトを見て思うのは、外から感染したのがわからないように感染させています。これだとグーグルやブラウザーは感知できないですね。もちろん生のサイトフォルダーをスキャンさせれば検知できますが表面検査では見つかりません。WORDPRESSに関して言ってしまうとプラグインのウィルス検知ソフトはどれを使っても役に立ちません。断言します。ウィルス、スパイウェア感染のほうがもっとハイレベルで感染させていますし、ファイル権限の関係でプラグインで調べられる限界もあるのかなと思います。また、サイトオーナーが知らないように感染させている最大の理由は、あなたのサイトを侵略の前線基地にしたいからかもしれません。つまり加害者になっている可能性が高い。大切な侵略基地を改竄なんかしません。但し、自動スクリプトで仕込むため失敗して侵略がバレてしまうケースも沢山あります。

巧妙な感染とは?

PNG画像のコメント情報欄にHASH化したプログラムコードを挿入したり、従来からある平凡なシステムファイルに感染コードを埋め込んでいるケースが多いです。それも外部のプログラムコードを読み込ませて実行させたり、最小限にばれにくいように感染コードを挿入しています。プログラムファイル名が画像の拡張子であることもよくあります。またjsコードの難読化にまぎれて改竄コードやアップロードコードが含まれているケースはあります。ダミーの感染ファイルを沢山用意して撹乱も行っているため、作業者がそれを除去して安心させるというケースもよくあります。

ちょっとレベルが違う感染の場合

低レベルの感染はテーマファイル、uploadsフォルダー、プラグインのレベルです。ミドルレベルになってくるとドキュメントルート直下やWORDPRESSならwp-adminやwp-includesのフォルダーへの感染です。もう巧みすぎてタイムスタンプまで変更するので見分けがつきにくい。私はファイルサイズで比較して改竄を見分けます。でもファイルの数が多すぎて限界はあります。AIプログラムでスキャンしてある程度候補にあがったファイルを目見でチェックして除去します。感染がわかっても除去できないケースももちろんあります。すごいレベルの感染はドキュメントルートのひとつ上の階層まで行きます。このケースでは他のサイトのコンテンツまで感染します。この場合はすぐにお客様へ感染除去は諦めて、新サーバ移転を勧めます。直すだけ無駄なので即サーバ移転しましょう。

サーバ移転する場合の注意

新規に作る場合で多いのは感染とは関係なさそうな画像ファイルの流用でなかろうかと思いますが、画像ウィルススキャンに強いソフトでしっかりチェックしてから流用しましょう。テキストファイルも下部にバイナリー埋め込んでいる場合もあるので極力流用はやめたほうが良いです。できる限り新規作成で移転サーバ、コンテンツを構築すると良いです。

タグ: , , , , , , ,

IPレンジでブロック By iptables


IPアドレスのレンジでブロックしたいときのやり方。

よくあるのはネットワークブロックだけどレンジでやる場合は次のような書式で書けばよい。アメリカのAshburnから謎の通信が大量にアクセスあったので
xmyipで調査してiptablesでブロック。テレコム見るとアマゾン配下のユーザっぽいけどね。botかな。

タグ: , , ,

iptables:User-AgentでブロックしたいときやURLでブロックしたい場合の処方箋


時々、煩いUser-Agnetがあったりするとそれがアクセスの統計を不要に増やしたり、セキュリテイアタックなのでは?と思うことがあります。アクセスログを調べて、時々メンテナンスすることは大切。

iptablesで実はブロックすることはできます。HTTPヘッダにある情報ならば基本フィルタリングは可能です。つまりURLなんかも、HTTPのコマンドも(GET,PUT等)制御できます。許可ならばACCEPT、拒否ならDROPすると良いです。

– -stringはトラップするキーワードを設定します。注意していただきたいのはコンテンツボディのトラップはできないということです。

iptables -Lでルールが適切に追加されたのを確認できたらルールの保存をお忘れなく。

タグ: , , , ,