Categories: Vulnerability

BOT for JCE.

 セキュリティネタを2つ。

 ひとつ目は, Mozilla の MFSA 2013-103 の件。「重要度:最高」になってた。すぐにアップデートしよう。

 ふたつ目は,表題の件。
 さっき, AWStats のスタッツを見たら,たった1日で HTTP エラーコード 400 がメチャ増えてて,ビックリ。

 アクセスログを調べてみたら,すべて同じ IP アドレス ( xxx.254.253.246 こういう場合さらしちゃっていいのかな,有名どころの不正アクセスサーバとは違うみたいだが。よくわからないので,頭だけ伏せとくワ ) からでずらっと POST かつ 400 が並んでいた。調べたところ, JoomlaJCE というコンポーネント狙いのボットらしい。

 というわけで,我が家は 400 と 404 でもあるし,直接の関係はないわけだが,いろいろ読んでみると, Joomla 1.5 上の JCE1.5.7.4 の脆弱性狙いの攻撃のようで, Joomla にしても JCE にしても,それ用に対処されたパッチはすでに出ているようだ。しかし, Joomla 遣いのサイトにおいても,我が WordPress 同様,セキュリティパッチが施されていないサイトは多い模様で,攻撃されたら危ないよというのは多いらしい。メソッドが POST だから,何か悪いものを仕込んでやろうとしているんだよネ?うまくいったら,そこから次の段階で盗み出しとかに進むんだろう。

 Joomla 本体をアップグレードするなり, JCE を最新にするなりが対策としては手っ取り早い。各サイトで事情もあろうが,しっかり,取り組もう。

o6asan

View Comments

  • おはようございます。
    web系じゃないですけど、sshでログインしてくる輩は3回接続
    失敗すると24時間アクセス禁止でどこのipかwhoisで
    調べて俺にメールするように設定してます。

    日本しかssh接続認めてないのにたまにいるんですよね。
    しつこいようだったら、wordpressで晒します。

    • くりくりさん,こんばんは。

      そういうものですか。どうも,このあたり,疎いもので(汗)。

      > 3回接続失敗すると24時間アクセス禁止でどこのipかwhoisで調べて俺にメールするように設定

      これについても,全く理解できていません。なにしろ,サーバに限らず,リモートでの管理作業を全くと言っていいほどやったことがないもので,ホントにちんぷんかんぷんで,以下,見当違いの質問だったらすみません。

      「メールするように設定」はシステムのメールの話かなと思うのですが,3回失敗するとというのは,何かスクリプトを付け足して判定させるのですか。
      それから,hosts.denyはもともとALLに設定するものと認識しています。で,ここではじかれてエラーが出るんだと思うのですが,24時間アクセス禁止はどこで設定するものになるのでしょうか。FireWallとかで行うものですか?

      質問ばかりで申し訳ないです。

  • おはようございます。

    swachというものがありましてログ監視ツールです。
    >3回失敗するとというのは,何かスクリプトを付け足して判定させるのですか。
    条件にマッチしたものはFWでアクセス規制にし
    システムのメールが俺の所にきます。

    >hosts.denyはもともとALLに設定するものと認識しています
    それだけでもいいのですが、ひどいと数千回とかアクセスしてきます。それが負荷になったりしますのでFWで遮断します。

    ここみるとどういうことしてるかわかりやすいですよ。

    http://centossrv.com/swatch.shtml

    • くりくりさん,こんにちは。

      早速,ありがとうございます。

      > http://centossrv.com/swatch.shtml

      拝見しました。なるほど,ログの監視ツールとして,こういうものがあるのですね。そのあと,Simple Log Watcherを見に行って,Windows上での使用方法を探してみましたが,なかなか難しそうです。これからときどき気を付けてみて,使い方を試していってみようと思います。実際に使えるようになるかどうか,全く見当もつきませんが。

      もしかしたら,Windows用の同じようなサービスもあるのかもしれません。もっとも, Windows Server OS と共売りだと,存在しても我が家では使えないでしょうねぇ。

  • こんばんは

    o6asanさんのセキュリティ意識の高さには頭がさがります。
    自宅サーバーとはいえ手をぬいておりませんね。

    そのくらいの意識がうちの製作にあったらとおもいます。
    ロリポップの時多くの方が自分のことのように情報を追っていました。しかし、うちの会社では私だけという始末です。
    自分のサイトは大丈夫?と思うのが当然ですが、そういう意識がありません。そういう素人意識がきにいりませんけどね。

    >Windows用の同じようなサービスもあるのかもしれません。
    最近はlinuxとwindows両方でうごくものがおおいですよね。
    もしかしたらあるかもしれませんね。

    • くりくりさん,こんばんは。

      ありがとうございます。志のみ高くて,なかなか,実力が伴わないので,ほめていただくと面はゆいばかりですが……

      ところで,「DNSキャッシュサーバとDDoS攻撃。」の追記に,お名前を出しました。そのお名前に,くりくりさんのサイトへのリンクを貼ってもいいですか?

  • おはようございます。

    >くりくりさんのサイトへのリンクを貼ってもいいですか?
    どうぞ

    • くりくりさん,おはようございます。

      ありがとうございます。リンクしました。

Recent Posts

超手抜き、レンチン・ミキサー芋羊羹。

この秋よく作った芋羊羹のレシピ…

6か月 ago

うー、久々にハマった。

 MariaDB の LTS …

1年 ago

あけましておめでとうございます。

ウサギ年ですねぇ。景気よく跳ね…

1年 ago

docomo の SC-02H 、 SIM ロック解除して Y!mobile で使う。

我が2台目のスマホとして SC…

2年 ago

o6asanの掲示板を引っ越し。-2

箱の準備が終わったので、中身を…

2年 ago

This website uses cookies.