タグ: SiteGuard

bookmark_border自サイトの脆弱性を確認された話

投稿者: enlico

どんなWebサイトにもサイバー攻撃は行われている。

・・・という話は聞いたことがありましたが、いざ自分のサイトにも行われているのを目の当たりにして改めてセキュリティの大切さを実感しました。

 

というのもSiteGuardを導入してたった3分程度したところで、知らないIPアドレスからのトラステッド・シグネチャが検出されました。

 

実際何をされたのかというと、サイトの脆弱性を確認されたらしい。。。

どうやって確認するのかというと、WebからShellコマンドを動かせるWebshellが使えるのかどうか確認しているみたい。

具体的にはURLの「?」以降にある「a=fetch&content・・・」がWebshellで実行しようとしたコマンドのよう。
調べても詳しく何を要求するコマンドなのか出てこなかったので、これは推測だけど恐らく「”HelloThinkCMF”のmd5ハッシュ値を返信してexitしてね」という内容だと思う。

ちなみに、たった2日で同じIPアドレスから4回も同じアクセスがありました。

 

いや怖すぎだろ!!

調べるとロシアのIPアドレスらしく、他にも被害に遭われている方の報告が3000件近くありました。
(こういうのもわかるなんて迷惑電話みたい)

 

今日はこの件を調べて一日が終わってしまった・・・OTL
だけどセキュリティに関して調べるのは有益な一日、とも言えるかな。。。

明日こそはコーディングしよう。

bookmark_borderSiteGuard Liteの導入

投稿者: enlico

WAFを入れていなかったので、さくらVPSの利用者は無料で利用できるSiteGuard Liteを導入した。

いつもどおり、さくらのVPS講座を参考にして導入。

https://knowledge.sakura.ad.jp/12348/

WAFってなんぞや?
という方いましたら、こちらも上のサイトに説明が書いてあるので覗いてください。

 

要するに、様々なサイバー攻撃を防いでくれるファイアウォールの一種らしいです。

ファイアウォールなら既に「firewalld」を適用済みですが、WAFを入れることによって「firewalld」では防ぎきれないサイバー攻撃にも対応してくれるとのこと。

 

SiteGuard Liteの導入は手間がかかりそう・・・と思って後回しにしてしまっていましたが、上のリンク先を参考にするとサクッと導入できました。
(なぜ後回しにしたんだ、私)

 

 

基本的に手順通りに進んだんですが、一箇所だけちょっと躓いたところが。

どこかというと、

./setup.sh

を実行した後、ポート9443のSiteGuard管理画面を開けるはずが開けない!

 

さくらVPSのコントロールパネルからパケットフィルタ設定でポート9443を開放してみたけど、それでも管理画面が開けず。

他にもブラウザのキャッシュを消してみたりなどしてもうまくいかず・・・。

 

結局、2回ほど

./setup.sh

のコマンドを実行し直したところで、アクセスできるようになりました。

原因はわからないけれど、パケットフィルタ設定を変更してから反映されるまで時間がかかったとかなのかな?
・・・と予想。(予想なので確信ではない)

 

 

手順にあるXSS攻撃をブロックしているかの確認を行った後も、リンク先内にある「さくらのナレッジ」全3回を参考にしてSiteGuardの設定を行いました。

更にセキュリティを高めようとしたらまだまだすることはあるんだろうけど、とりあえずはサイトに書いてあった設定だけ。

 

 

SiteGuardを導入してからすぐに、知らないIPアドレスから攻撃されたようで検出ログに記録が・・・。

この辺はまた別記事としてまとめていきたいと思います。