ChannelK

今日を――生き残れ。

Flower

Archive for the ‘ServersMan@VPS’ Category

変わる不正アクセスのパターン。

スクフェスのイベント期間中は毎回アクセス数が伸びるのですが、今回はとあるblogさんにボーダー一覧表のエントリがリンクされて通常のアクセス数が倍くらいになっていたりします。とはいえ、某ニュースサイトさんにリンクされた時に比べれば1/20以下なので鯖にも全然余裕があるのですが……。

今回の件はそれについてではなく。
いつものごとくlogwatchが整形してメールで送ってくれるレポートとNewStatPress、Wordfenceで日々のアクセス状況は確認しているのですが、今回気になったのはwordpressの管理ページへの不正アクセスのパターンが変わった点。

管理ページへの不正アクセスといえば、「admin」「administarator」「adminadmin」など定番フレーズやしばらく前から出始めた「ドメイン名」をユーザー名としてアクセスしてくるものが定番だったのですが、今日確認したのは「投稿ユーザー名」をログインに使ってくるパターン。当然のことですが投稿ユーザーは有効なのでパスワードが合致すればログインに成功してしまいます。

もちろんWordfenceで制限を掛けているのでパスワード総当たりをされても合わなければロックアウトするだけなのですが、不正アクセスしてきたIPだけでなく管理者の自分まで弾かれては仕方ありません。時間を掛けて総当たりされればパスワードは割られてしまうわけで、これはきちんと対策しておかなければなりません。

というわけで、一番手っ取り早く行える方法としてwp-admin以下に.htacceessを別途置いてホストによるアクセス制限をサクッと追加。WordfenceのBlocked IPsを見て、こんなに引っかかってるよとニヤニヤすることはできなくなりますがこればかりは仕方ないでしょう。

ちなみにここ2ヶ月でログイン失敗でロックアウトされたIPは1430ほど。ロックアウトされた後に500回以上再び不正アクセスを試みたIPも中にはありました。httpdの膨大なアクセスログをいちいち確認するのは面倒ですから、logwatchやwordfenceのようなツールは非常に便利です。

セキュリティは大事だよー。

twitterの方で流れていた情報から気になることを見つけたので。

【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます | More Access! More Fun! 

WordPressというよりはMy SQL、php周りのハッキングが横行しているようですね。
うちもVPS上にWordpressを使ってblogを構築しているので、他人事ではありません。

ここしばらくWordfenceのログを確認していて、管理画面へ日本国内のxserverから管理画面への不正アクセスがちらほらあるなーとは思っていたのですが、以前にWordfenceについてエントリを書いた時と比較すると2ヶ月で1134件、これまでから300IP以上の不正アクセスが増えていました。

Wordfenceのログとlogwatchのデイリーメールを確認していれば、どういう形で侵入のとっかかりを探しているのかだいたい分かるようになってきます。

  1. WordPress上で”admin”、”administrator”など分かりやすい管理者IDを見つけたらPass総当たり
  2. My PHP Adminなどがインストールされていないか、インストールされていれば管理者権限が取れるかどうか
  3. ディレクトリトラバーサルなどによってwebで公開されている範囲外のサーバパスワードなどが取得できるか
  4. その他Telnet、sshdなどを用いてサーバにログオンできるか

この辺が一般的な所でしょうか。
キチンとサーバを管理できているユーザーならそれなりの対策もしてあるでしょうし問題ないとは思いますが、「~分でblogが開設できます」的な謳い文句のサービスを利用していると自分でサーバを管理するという気持ちは起こらないのでしょうね。

iptablesやipsetで外部からのアクセス規制、Clam AntiVirusなどを利用したサーバのウイルス対策、Wordpressのバージョンに限らずOSの更新パッケージの確認、使用しているID・パスワードの脆弱性チェックなどは日常的に行なっておきたいものです。

Wordfenceをもっと使いこなしてみる(その2)

その1としたからにはその2がないとね(その3があるかどうかは分かりませんが……)。
Wordfenceで重宝する点に、MTA(要するにメールサーバ)がある環境であればアラートのメールが送られてくるというものがあります。具体的にはこんな感じのメールが送られてきます。

Subject: [Wordfence Alert] Problems found on ChannelK

Wordfence found the following new issues on “ChannelK”.

Alert generated at Friday 2nd of August 2013 at 11:39:55 AM
Critical Problems:

* WordPress core file modified: wp-content/plugins/akismet/akismet.php
* WordPress core file modified: wp-content/plugins/akismet/readme.txt
* Your WordPress version is out of date

akismetの警告は最新バージョンの2.5.9をインストールしているのですが、リポジトリに登録されているのが2.5.8のままだからということらしいです。よって無視。
WordPressのバージョンが古いという警告は、8月2日にWordpress 3.6(英語版)のリリースが行われたことによるもの。まだ日本語版のWordPressはリリースされていないためこちらも無視。

アラートメールのトリガーとなるイベントは「Options」のAdvanced Options:Alertsで変更できます。必要なチェックボックスを選択するだけなので確認しておいて損はありません。

Alerts

Alert on critical problems

「重大な問題が発生したら警告」
文字通り。デフォルトオンですがそのままを推奨。

Alert on warnings

「問題があったら警告」
そのまま日本語に訳すと意味不明になりますが。これもデフォルトオンですがそのままを推奨。

Alert when an IP address is blocked

これも文字通り。「Firewall Rules」などで自動ブロックの設定をしていてあまりにも多い場合にはオフがいいかもしれません。

Alert when someone is locked out from login

「誰かがロックアウトされた時に警告する」
ログインセキュリティオプションの「Immediately lock out invalid usernames」にチェックを入れていて、自動ロックアウトが頻繁にかつ大量に発生するような環境ではオフにしておいた方が賢明です。オフ推奨。

Alert when the “lost password” form is used for a valid user

「存在するユーザー名で『パスワードを忘れた時に』フォームが使用されたら警告する」
複数人で共同執筆するようなblogならともかく、個人blogではユーザー名も1つの場合が多いのではないでしょうか。逆に使わないけれど有効なユーザーが複数存在する方が怖いです。ユーザー名が類推されにくいものならオフでも問題ないかと思います。

Alert me when someone with administrator access signs in

「誰かが管理者権限でサインインした場合に警告する」
個人blogなら自分しかいませんしね。オフ推奨。

Alert me when a non-admin user signs in

「管理者以外がサインインした場合に警告する」
これも複数ユーザーがblogを利用している場合のものですね。個人blogならオフ推奨。

次は「Login Security Options」で設定できる項目と同じくらい必須と言える「Other Options」について書きましょうかね。

You are currently browsing the archives for the ServersMan@VPS category.

Optimization WordPress Plugins & Solutions by W3 EDGE