カテゴリー
Vulnerability

BOT for JCE.

 セキュリティネタを2つ。

 ひとつ目は, Mozilla の MFSA 2013-103 の件。「重要度:最高」になってた。すぐにアップデートしよう。

 ふたつ目は,表題の件。
 さっき, AWStats のスタッツを見たら,たった1日で HTTP エラーコード 400 がメチャ増えてて,ビックリ。

 アクセスログを調べてみたら,すべて同じ IP アドレス ( xxx.254.253.246 こういう場合さらしちゃっていいのかな,有名どころの不正アクセスサーバとは違うみたいだが。よくわからないので,頭だけ伏せとくワ ) からでずらっと POST かつ 400 が並んでいた。調べたところ, JoomlaJCE というコンポーネント狙いのボットらしい。

 というわけで,我が家は 400 と 404 でもあるし,直接の関係はないわけだが,いろいろ読んでみると, Joomla 1.5 上の JCE1.5.7.4 の脆弱性狙いの攻撃のようで, Joomla にしても JCE にしても,それ用に対処されたパッチはすでに出ているようだ。しかし, Joomla 遣いのサイトにおいても,我が WordPress 同様,セキュリティパッチが施されていないサイトは多い模様で,攻撃されたら危ないよというのは多いらしい。メソッドが POST だから,何か悪いものを仕込んでやろうとしているんだよネ?うまくいったら,そこから次の段階で盗み出しとかに進むんだろう。

 Joomla 本体をアップグレードするなり, JCE を最新にするなりが対策としては手っ取り早い。各サイトで事情もあろうが,しっかり,取り組もう。

カテゴリー
everyday life

速さにたじろぐ。

 何の速さかというと,変化の速さ。ここのところ,いろいろと,変化の速さにたじろぐことが引き続いちゃって。語るに落ちるね。ハハ。

 ひとつ目は, F-12D(らくらくスマートフォン)の LINE 対応の話。
 先日,知り合いに, F-12D で LINE を使うにはどうしたらいいのかと聞かれた。何しろ,ラクラクかタイヘンかは問わず,いまだにスマホを持っていないので(大汗),ググってみた。ところが,ページごとに出来るとか出来ないとか,書いていることが違う。書いた方がいい加減なのではなく,どうも時々刻々と対応状況が変化しているらしい。

 最終的にぶち当たったのは,「らくらくスマートフォン:F-12D、F-08EにLINEが対応」というページ。なんと,10月30日から対応したんだって。というわけで,このページにあるように,「d メニュー」からあっさり。ホーッ。
 で,もひとつビックリなのが, LINE の下のほうに書いてあった「一般の携帯電話でもご利用が可能です。」というセリフ。一応,やってみたよー。例の SH906i で。できちゃった。もっとも,使える機能は限られてて,いちいち,ネットに接続しなければいけないし,面倒なので,すぐにやめちゃったけど。何しろ,ガラケーはパケ・ホーダイにすらしていないから,うっかりネットをやりすぎると,物入りなのだ。私には, L-09C という強い味方がいるからね。実は,最近は他の機種と比べてそれほど強いとも言えないけど(苦々ッ)。ヤッパうちのあたりでは,捨てがたいよ。

 ふたつ目は,ケータイのカメラの性能。もっとも,残念ながら自分のではない。
 テレビを見ていたら,がケータイ(多分スマホ,チラ見で機種不明)で星空を撮っていた。ケータイだよ,ケータイ。しかも,かなりちゃんと写っていて,オドロキ。御嶽山の山小屋の外とかで,確かに暗さもあって星がしっかり見えてるところだったけど。

 このブログに,一番初めにお月さんの写真を載せたときに, june さんから「望遠なんて持っていないし・・・。」というコメントをいただいたが,これがウチらの世代では普通の反応。お月さんを撮影した私自身も,「へえーっ,コンパクトデジカメで満月が撮れるんだ!!」と感無量だったもの。

 それが,いまやケータイで星空だよ。たじろいでも無理ないでしょ。

 みっつ目は,「本格的に日本を襲い始めたAPT」。
 これは,マイクロソフトの「2013年11月のセキュリティ情報」の中にある MS13-090 がらみ。前の2つはありがたい話だけど,これは嬉しくないねぇ。
 今までは,ゼロデイがあっても,結構日本は蚊帳の外ってことが多くて,ノホホンとしてても割と大丈夫だったってことがあるんだけど,どんどんそうではなくなっている。この間も書いたけど,いつまでついていけるのかなあ。もともと少ない自信が,日々目減りしていく今日この頃なのであります(爆)。

カテゴリー
Windows

2013年10月マイクロソフト定例。

投稿アップデート情報  追記(10/10)

 2013年10月のセキュリティ情報ということです。 Adobe Acrobat Reader もアップデートが出ました。

 近ごろの我が家,セキュリティネタが少ないと思ってるでしょ。ないんじゃないです。ありすぎてアップアップで,書く気がしなくて,この体たらく。なんかもう,ほんと,おなか一杯,手いっぱい。

 対応する皆様,いずこの方も頑張ってください。零細な自鯖運営者も,及ばずながら,日々,努力しておりますですよー。 m(_”_)m

追記(10/10):
 まぁ, M$ の分だけでも多くて多くて,ほんとにちょっとアップアップなんですが,そうは言いながらも定例がらみで発見したことだけ書いておきます。

 なんかいっぱい緊急があって,なおかつズラズラと謝辞が並んでるなぁ,そういう時代なんだなと2013年10月のセキュリティ情報を読んでたら,謝辞のところに明らかに日系の名前があった。へえ,日系米人かと思ったが,よく見たら,どうもラックの石川芳浩さんですねぇ。

 で,行ったことのなかった LAC Co. をのぞいてみたら,こんなんありました。

 こういう時代なんですねえ。下級な現場のもの(—>自分のことですわ)もしっかりしないと,時代に取り残される。取り残されるだけならいいけど,いつ痛い目に合うかわからんなぁ。

カテゴリー
Linux

起きてびっくり,サイト改竄? at よそ様-続々々々々報。

 ぐふふ,ついに踊り字4つだよー。まっ,これで打ち止めだとは思うけどね(汗)。

 2013/09/09第三者によるユーザーサイトの改ざん被害に関するご報告ということで,09/09 20:42 追記後は増えていないから,これが公式な最終報告なのかなと思う。結局のところ,

■原因

  • 改ざんの原因
    簡単インストールを利用して設置された WordPress においてインストールが完了していない WordPress が狙われ、WordPress の管理者権限を第三者に取得されたことで、サーバー上にサーバー構成上の不備を悪用するスクリプトが設置されました。また、wp-config.php のパーミッションが 644 だったことを利用して、設置されたスクリプトによりデータベースの接続情報の取得がおこなわれ、データベース上のデータの書き換えが可能な状態となっておりました。
  • 改ざんが拡大した原因
    サーバー側のディレクトリパーミッションが不適切だったことと、FollowSymLinks の設定を有効にできる状態であったため、同一サーバー上のユーザー領域を辿り、他のユーザー様の wp-config.php の内容を参照し、データベースの更新を実行することで改ざんの被害が拡大しました。

    上記の事象と原因に関して、被害の拡大を防ぐため以下の対策を実施いたしました。

ということで,今回,被害が拡大したことについては, WordPress は無関係ということだ。無罪放メーン。

 もっとも,前記事で「大穴があいていたもので,個別の穴狙いでチョコチョコ出入りしていたクラッカーが,図に乗っちゃったということになるのか。」と書いたように,チョコチョコ出入りしようとするクラッカーはどのサイトでも見受けられるわけで, WordPress は売れ筋の CMS であるだけに,狙われやすいのだということは,肝に銘じておいたほうがいい。 Mac より Windows 狙いのマルウェアが多いのと同理由である。

 ロリさんのところがどのくらい改善されたのか試してみたい気もするが,最近は,あちこち手を出すのは止めてるので,どうなるかな。

 よそ様の運営に口を出すのもおこがましいが, WordPress の簡単インストールというサービスを提供するのであれば,もう少しガチガチにしといたほうがいいだろうと思う。ロリさんところで,簡単インストールを利用しようってユーザの場合,「パーミッション,何それ,おいしいの?( <-- 先に謝っときます。この表現,気に障ったらゴメンナサイ)」レベルの場合が考えられるわけで,インストールされそこなって放置される場合はもちろん,運営する状況に至っても,パーミッションまで気が回らないことは十分考えられるはずだから,簡単インストールなら,当然,そこまで面倒見るべきだろう。アップデートサービスについても然りだ。  WordPress はテーマやプラグインが豊富なのも魅力の一つだが,簡単インストールの場合だと,これらについては個別ユーザが自由にインストールできないようにしておくべきだ。それをやっておかないと,テーマやプラグイン由来の穴に対する保守が不可能になる。メリットも殺しちゃうことになるんで,痛し痒しだろうけど。  マルチサイトの子サイトとして提供するのがいいんだろうが,それだと,簡単インストールサービスじゃなくて,ブログのサービスになっちゃうからなぁ。  我が家の場合は,自鯖の上にユーザは私一人という特殊事情だから,そんな難しいことは考えなくていいんだけど,共用サーバって難しいんだろうね。

カテゴリー
Linux

起きてびっくり,サイト改竄? at よそ様-続々々々報。

投稿アップデート情報  追記

 完全に,後出しの話になる(爆)。ところで,踊り字3つだよーっ(汗)。

 実は,「起きてびっくり,サイト改竄? at よそ様-続々報。」のときに, Apache のドキュメントを読みに行って,何のことだろうと思っていた記述があった。それは,「このオプションを省略したからといってセキュリティの強化にはなりません。 なぜなら symlink の検査はレースコンディションを引き起こす可能性があり、 そのため回避可能になるからです。」というものだ。その時点では,そのことについて,触れているところを見つけられなかった。

 ところが,今晩,2つも見つけてしまった。やはり, Symlink Attacks に関連のあることだったようだ。
 見つけたのは,次の2つ。一つは WikiPedia で「 Symlink race 」の説明のところ,もう一つは,「 Apache HTTPD: `Options -FollowSymLinks` は不完全」というページ。

 特に,2つ目は,今回の事件を踏まえて書いていることなので,飲み込みやすい。要するに,
————————————————————————————————————————————————
「シンボリックリンク機能を持つ UNIX (リンク先の文中に,LINUX についても同等のことが可能である記述がある ― o6asan 追記) には 『ファイルがシンボリックリンクかどうかの判定』、 『ファイルまでのパスがシンボリックリンクかどうかの判定』、 『ファイルのオープン』を一度に処理する方法がない」
————————————————————————————————————————————————
ために,タイムラグが生じる。そのせいで隙が生まれ,悪用可能という話だ。この種類のことには,名前まである(「Time Of Check to Time Of Use」 = TOCTTOU)らしい。

 OSSTech の佐藤さんの書いた記事で,この間引用した徳丸さんの記事の話も,さくらインターネット社長の田中さんの記事の話も出てくる。

 実にわずかな時間の話だが,コンピュータは瞬時の生き物だからなあ。

 ここで,「TOCTTOU について具体的に解説していて参考になるページ」として挙げられている IPA の説明は,素人にはまるで手品のように思える不思議さである。

 今,徳丸さんのところに「ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策」を読みに行ったら,3日付の追記が増えていた。うーん,共用レンタルサーバだとそういうことになるんですか。

 田中さんのページ,「共用サーバにおけるSymlink Attacksによる攻撃とその対策について」には,今のところ,特に追記はないようだが, twitter では,佐藤さんとのつぶやきを閲覧可能である。いろいろと,使える対策を話し合ってる感じ。

追記:
 4日に書いたつもりが,公開の日付を見たら5日になっている。書いてる間に日が変わったようだ。まっ,いいけど。

 ところで関連でこんなのもあった。興味深いが,むずかしー。ユーザが一人しかいない,我が家では悩まなくていいようだけどネ。

カテゴリー
Windows

起きてびっくり,サイト改竄? at よそ様-続々々報。

 ウウウッ,こんなに続けるなら,初めから番号にしときゃよかったと,悔やむ表題。続々々報って,踊り字が何個になるんだよぉー。

 あれから, Symlink Attacks について調べてみた。つまり,ロリさんとこのクラックに使われたかもしれないって方法だよね。まぁ,いろいろ見つかる時代だね。いいというか,悪いというか,なんともはや表現に困る。

 ところで,
> LINUX を使ったときにシンボリックリンクとは便利なものだと思ったが,元来は UNIX 由来のものだろうと思う。
と書いたように,やはりシンボリックリンクというのは UNIX 由来のものだ。ということで, Symlink Attacks そのものも,ものすごく昔からあるようだ。 Symlink Attacks を google.co.jp で引用符付きで検索してみたら, 1997 年まではヒットした。引用符なしで内容的なものを調べてみるともっと昔からある。要するに,きちんと設定しないと狙われやすいところなわけだ。

 Apache の場合,ドキュメントルートの Options にはデフォルトで FollowSymLinks が入っているから,私のような素人の自鯖運営者でなければ,共有サーバの場合はこうしなきゃいけないよというのをちゃんと知っているだろうし,確立されていると思う。しかし,今回, “R.I.P lolipop” と名指しで攻撃されたということは,ロリさんところがそうなってなかったということなのだろう。大穴があいていたもので,個別の穴狙いでチョコチョコ出入りしていたクラッカーが,図に乗っちゃったということになるのか。

 TODOS でりりさんが「そういうプログラムが最期までできなかった」みたいなことを,相当,昔に書いていたから,そういう面で狙われやすい属性ができてしまっていたのかもしれないとも思う。

 シンボリックリンクについて, Windows の「ショートカット」のようなもんだという説明を,昔,されたことがあるが, LINUX を齧りだして使ってみた感じだとかなり違う。むしろ, Apache の「エイリアス」のほうが近い気がする。シンボリックリンクというのは,参照先のものを実体として使える。これは, Windows の「ショートカット」には無理だ。そのうえ,今回知ったわけだが,つけ方によっては,ファイルの性質さえ変えられるわけだ。バイナリをテキストとして参照するなんてのは論外だろうが, php を txt として見ることはできるわけだからね。

 まぁ,一般的には, WordPress 使いは,最新の環境を素早く安全に提供してくれるホスティングサービスを選ぶことを,念頭に置いておけばいいと思うよ。私の場合は,他人には提供してはいないが,自宅にサーバがある環境だから,一般的な場合より,いろいろ気にかけているだけの話だ。

 しかしねぇ,「最新の環境を素早く安全に提供してくれるホスティングサービスを選ぶことを,念頭に置いておけばいい」といっても,これが結構難しいのは確かだし,「安価」でというのが入ってくると,一層大変だよね。

 どの辺まで,自分で管理するのかは難しいところだけど,せめてすごく簡単なパスワードとか,更新されていない古いバージョンを,パッチあてなしで使うことは,やめようよ。そして,自分が新しいバージョンで行きたいと思っても,サーバのソフトを刷新してくれないホスティング会社を使っている場合は,乗り換えを考えたほうがいい。趣味で,乗っ取られても実害のないサイトなら,無理をしなくてもいいけど,小さくても,営業がらみだと,怪我の小さいうちに考えることをお勧めします。これ,ホント!!

カテゴリー
WordPress

起きてびっくり,サイト改竄? at よそ様-続々報。

 徳丸さんが関連記事(新規での投稿時刻は 9:48 のようである)を書いている。表題はそのものずばり。「ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策」。

 この中で,徳丸さんは hissy さんが,個人的な見解の中で, “symlink, mass deface” と書いておられたことの具体的手法だろうと,私が思ったことについて,詳しく書いてくださっている。

 しかし, WordPress を使う場合 mod_rewrite がいるから, FollowSymLinks は必須だ。ということは, 共有サーバの場合,ここを必ず SymLinksIfOwnerMatch にしておけばいいということなのか。うちの場合,ユーザは私ひとりなので,ドキュメントルートの Options はデフォルトのままで, AllowOverride のほうは,デフォルトの None から FileInfo Indexes Limit に変更してある。 .htaccess で使うためだ。

 LINUX を使ったときにシンボリックリンクとは便利なものだと思ったが,元来は UNIX 由来のものだろうと思う。メインフレームしか存在しなかったような時代においては,今のように不特定多数のしかも初心者に近いような人間がネット上で使用するようなことは想定外だったろうから,そのころのゆるさが残ってしまっているのだろう。

 なんちゅうか,自分の住んでいるところの郵便局と,西部劇の新開地の銀行を比べてみているのような気分になってきた。

 自鯖の環境を振り返ってみて,上記の件も大丈夫かなという気になってきたところである。ところで, WordPress をお使いの同好の士は,環境を最新に保つようにがんばりましょう。今回, timthumb.php の脆弱性が利用されたのであれば, timthumb.php を開発している方たちはがっくり来てると思うよ。「俺たちの努力は何だったんだ」って。まっ,何の分野でもよくある話だけどね,ありがたくないことに(爆)。

カテゴリー
WordPress

起きてびっくり,サイト改竄? at よそ様-続報。

 いろいろ,情報が出ているようだが,ロリさんからの詳細情報は,われわれが利用できるような意味では(具体的にどのファイルのどの脆弱性を使われたとか,サーバのどの穴を突かれたとか ― 望むほうが無理かいな),詳細には出ていないようだ。しかし,状況としては少し落ち着いてきたのだろうか。

 hissy さんが今時点(朝8:55ごろ)での見解をまとめられていて,参考になるのでリンクを貼っておく。これ

 もし, timthumb.php が狙われたとすれば,脆弱情報を入手しての更新がいかに大切か,実感できると思う。私が, timthumb.php の脆弱性に触れたのは,調べてみたら 2011.08.05 のことだった。丸2年前には,アップデートが配布されているわけだから,この既知の脆弱性が残っていたとすれば,これが2年間手当てされていなかったことになる。ロリさんところのような形態のサーバでは,そういうユーザもかなりいるのかもしれない。しかし,これだけだとそのサイトだけ話になるから,他ソフトの脆弱性やサーバの不備を突かれて,これを踏み台に使える方法を見つけられてしまったということなのか。サーバの脆弱性を付かれたと言うことになれば,これはホスティングサービス側の責任が大きいだろう。フリーで気楽に使えるレンタルとなれば,『そういうユーザ』が多くなるのは止むを得ないから,ホスティング側がしっかりしないといけないわけだが,職場として考えたとき,そういう運営をする場合は,優れた技術者を集め最新のインフラを維持するようなコストはかけられないだろうな,と思ってしまう。
 必然的に,サーバ群のセキュリティが,低いまま残っていく,ということになるのかもしれない。

 ところで,うちの Apache の8月のログにも
  ”GET /~/cybercrime.php HTTP/1.1″
なるものが,21日分に残っている。しかし, Error AH00127: Cannot map GET が戻っているので,問題なかったのだろう。ちなみに, Apache のログから /cybercrime.phpが見つかったのは, 2011.4 から今まででこの日だけだった。

 /w00tw00t.at.ISC.SANS.DFind:) とか 0w131 とか phpMyAdmin がらみとかは,よく見かけるんだけどナ。

 そういえば,ほかに uploadify.php の脆弱性にも触れたことがある。このときは,これがらみで「PHP/WebShell.A.1[virus]」が送り込まれてきたようだった。関連の脆弱性がなかったせいか事なきを得たわけだが,なんによらず,素人の自鯖運営者としては,「この間書いたように『新しいものは,気づかれない大穴があるということもあるが,それ以上に古い既知の穴のほうが怖いよというのが,最近のスタンスと思われる。』という姿勢で行くしかないのかなぁ」と思った今回のロリさん達の事件であった。

カテゴリー
WordPress

起きてびっくり,サイト改竄? at よそ様。

投稿アップデート情報  追記

 昨朝,起きて WordPress の日本語ブログのダッシュボードに入って,びっくり。フォーラムのところに,なんと,「サイト改ざん?」の文字が乱舞している。

 いや,うちではないです。よそ様です。フォーラムに初投稿がされたのは一昨日のようだが,一昨日は,芋虫くんにかまけていて,気づかなかった。まぁ,昼からは,いろいろリアルも忙しかったし。

 昨日も昨日で,朝あらかた読んで,ひとまずうちには影響がなさそうなので,予定通りでかけてしまった。(汗)

 しかしねぇ,テストサイトに使っている atpages から,一昨日こういう連絡が来たばかりだったし,
 【@PAGES】【お詫び】ユーザ情報流失に関するお知らせ 2013.08.28
さらに昨日はこれが来たので,
 【@PAGES】【お詫び】ユーザ情報流出に関するお知らせ【第2報】2013.08.29
いずこも同じようなことがあるのかなと思ったわけだ。上記の事件と同じようなといわれたら, atpages は心外かもしれないが……幸いにして,狙われなかっただけ,という気もする。
 今のところ,「ロリポップサーバーでサイト改ざんハッキング被害に遭った方への情報」から跳べる「ロリポップサイト改ざん関連情報 (2013年8月)」を読んでも,はっきりとした原因はわからないわけだが,いろんなことで似たり寄ったりかなと思う。(爆)

 「Hacked by Krad Xin」でググると,表題にこの文字列が入ったものすごい数のサイトが現れる。上記の事件の発端が一昨日だから,事件関連の記事も多いわけだが,それを除いても(年月日設定を去年1年とかしても,ということ),すごい数だ。これって,要するにスクリプトを仕組まれているんじゃないのか?

 フォーラムの話の中に,
> 一般設定のサイトタイトルがHacked by Krad Xinとなっていたのを元のサイト名に戻しました
てのがあるからねぇ。

 今回のクラックはある意味,性がいいかも知れないとか思った。だってね,一番初めに投稿した方が書いているように,クラックされたサイトで文字化けがあったわけだ。そうすると,変だなぁって,気づくよね。「深く静かに潜航」するほうが,たちが悪い。ダメージが一緒なら,早く気づけるほうが手当ても早いわけだから,不幸中の幸いだよ。「Hacked by Krad Xin」でググったときに出てくるサイトのほとんどは,気づいてないのではなかろうか。

 まぁ,「ロリポップ」では,昨年から, WAF が標準装備って謳っていたみたいだけど,あんまり役立てられていなかったようだね。徳丸さんが,「ロリポップ上のWordPressをWAFで防御する方法 」を書いているので(去年の記事を,昨日の時点でタイトル変更,追記までしている),「ロリポップ」を使っている人は,今回の手当が済んだ後は,よく読んで取り組んだほうがいいと思う。

 レンタルサーバだと,導入されていない WAF は使いようがないだろうけど, WordPress 使いとして,せめて出来ることはやっておこう。前にも書いたけど,こんなとこが参考になると思う。

  1. WordPress のセキュリティ、こんな記事は要注意
  2. WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
  3. Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目

 セキュリティ関係はナマモノとはいうものの,上げられてる10個のうちの半分は, WordPress に限る話ではない。 up-to-date とか,パスワード強度とか,ユーザの啓蒙とか。最後のものなんて管理者だったら,一番苦労するとこ。

 しかし,管理者になっている方は,レベルの違いはあれ,日々勉強と縁が切れないってことだ。お互いに,ガンバ!!

追記:
 読み直してみて, wp-config.php や .htaccess のパーミッションの話を全く書いていないのに気付いた。今どき,あの環境で 404 , 604 は当たり前だろうとか思っていたせいで,書き忘れたのかな。結局, wp-config.php については, 400 ってことになったようだ。
 LINUX に詳しくないので,この辺がよくわからないのだが,レンタルサーバで public_html 下のファイルのオーナーと サーバソフトウェアのオーナーが違う場合, 400 にしちまうと, wp-config.php をビジターが使えなくてエラーになりそうな気がするが,その辺,ロリはどうなってんのだろ。
 詳しい方がいらっしゃったら,よろしく。

 ところで,先日
Windows ファイアーウォールからのアラートを受容すると自動的にルールが構築される。しかし,これが甘々なのである。 今回の場合でも,デフォルトだと,すべての IP アドレス&ポート(それも, TCP だけでなく UDP まで)についてオープンしている状態になる。これじゃあんまりなので,”セキュリティが強化された Windows ファイアウォール” の機能を使って,もう少しきっちりと制限しておくべきだと思うのであった。
と書いた件だが,ほかのパーソナルファイアーウォールを入れずに,”セキュリティが強化された Windows ファイアウォール”を使い続けている。この件で少し詳しい記事を書きたいと思っているが,今のところ,思っているだけ。
 一言愚痴っておくと,「スコープ」の細かい設定がしにくい。どなたか,その部分にデータをインポートするいい方法をご存じないですか。

カテゴリー
Vulnerability

有名どころサイトの改竄について。

 今日も今日とて,デジタル記事を読んでいたら,一般紙でこんなのがあった。読売新聞です。「「見て感染」サイト急増…トヨタ・環境省も被害」というの。こういう無料バージョンの新聞記事というのは,リンクを貼っておいてもすぐ読めなくなっちゃうので,毎度ながらPDFバージョンも作っといた(「見て感染」サイト急増)。

 まあ,過去に WordPress の プラグインの作者のところで,ウイルスを仕込まれそうになったことがあるが,このときも,サーバを管理しているホスティングサービスがおおもとの問題で,かの作者はすぐにできる対策はしたが,根本的には,会社にクレームをつけているようなことを言っていた。

 サーバというものは,いろんなプログラムの集合体で,100%完全ということはありえないわけだが,それでも,開発の続いているものの場合は,日夜攻防が続いている。開発が終わっているものは,攻攻になっちゃうわけで,ここのところで,「最新バージョンを使おうね」という話になるわけだ。新しいものは,気づかれない大穴があるということもあるが,それ以上に古い既知の穴のほうが怖いよというのが,最近のスタンスと思われる。

 Apache,MySQL,PHP,Perl などもしょっちゅうアップデートされているが,私の使っていない大物としては, BIND,Parallels Plesk Panel などの話がある。 BIND については使おうかなと思ったことがあるので,ここの記事でもチラッと触れたことはあるが, Parallels Plesk Panel はまったく縁がなかったので,ここで触れたこともない。しかし,読売の記事を見て,ふっと思い出したのがこれ同PDF版)なのだ。

 Parallels Plesk Panel はコマンドを使い慣れない人には便利なものらしいから,零細なサービスとかでは, JPCERT/CC の危惧どおりいっぱいあるんじゃないかな。その上,ここが困った点なのだが,興味がないと,こういう情報にすら気づかないのが人間なんですよねー。自戒をこめて!!