どうも、やまもとやまです。
Webサイト運用とは切っても切り離せない(?)改ざん被害(切り離したいですが)。
普通に使っていただけなのに!なぜ!ということも多いはず・・・。
というわけで今回はそんな怖い改ざんのお話です。
改ざんこわい。まんじゅうもこわい。
改ざんされるとどうなるのん?
被害に遭わなければ意識することも少ないと思いますが、実際に改ざんが行われるとどうなるのでしょうか?
シンプルなケースではWebサイトが書き換えられ、意図せぬサイト表示となります。
ハックしてやったぜー、みたいに書き換えるパターンなんかです。
さらに悪意のあるケースでは、別サイトへ誘導するケースや、情報を詐取しようとすることも。
改ざんによる二次被害が発生してしまいます。
怖ろしいですね。
改ざんってなんでおこるのん?
では、改ざんはなぜ起こるのでしょうか。
例えば、FTPパスワード漏洩が挙げられます。
共用サーバーなどでは接続元の制限はあまりなくFTPへアクセス可能なことが多いので、アカウントとパスワードが漏洩すると簡単にファイルを上書きされて改ざんされてしまいます。
その他で多いのは、アプリケーションの脆弱性を狙われるケース。
利用者数の多いOSSのアプリケーションの場合、攻撃対象となりがちなので、適切にアップデートをしていなければ被害を受けやすくなります。
一例ですがWordPressは利用者が非常に多く、本体以外にもプラグインが多数存在するため、気づかぬところで脆弱性の影響を受けることがあります。
実際に、運用中のサーバーで改ざん被害を発見するケースもそれなりにあります。
こまった。
改ざん対策したい
それでは改ざんの対策はどのようなものがあるでしょう?
例に挙げたFTPパスワード漏洩の対策としては、FTPの接続元を制限することや、FTP自体利用せず、SFTPやSCPを利用する(パスワード認証ではなく公開鍵認証を利用する)等があります。
WordPress利用の場合であれば、管理画面やxmlrpc.phpへのアクセスを制限する、プラグインを含め適切にアップデートし最新の状態に保つ、等が一般的な対策かと思います。
WAFでの防御も一つの有効な手段でしょう。
当社でも『攻撃遮断くん』というWAFサービスをご提供しています。
また、万が一改ざん被害に遭ったときに備え、定期的なバックアップも重要です。
改ざんを受けたときに気づけるよう、改ざん検知サービスの利用も検討可能かと思います。
当社でも『Web改ざん検知サービス』をご提供しているのでぜひご一考を!
改ざんを受けた!どうしよ!
と少し宣伝もしたところで、ここからは改ざんが確認できた場合の対応について、エンジニア向けにちょこっと書いてみようと思います。
例によってWordPressを例にします。別にWordPressが悪いわけではないですが、分かりやすいので。。
まずは復旧、といきたいところですが、確認ポイントがいくつかあります。
プロセス確認
まずはサーバーの全プロセスを確認しましょう。
ありがちなパターンとして、不正にアップロードしたプログラムを実行し、不審なプロセスがあがっていることがあります。
そんなやつらは遠慮なくkill・・・したいところですが、その前にlsofあたりで掴んでいるファイルも確認しておきましょう。変なところに潜んでいるかもしれません。
不正なファイル確認
改ざん経路として不正なファイルがアップロードされていることが多いです。
改ざん直後であればタイムスタンプ等で確認しやすいので、怪しいものをリストアップしましょう。
注意点として、同じLinuxユーザ権限の領域であれば、対象ドメインだけではなくサブドメインなんかも影響を受けていることがあります。見落とすと、復旧させたはずなのにまた改ざんされた!とかなるので気を付けましょう。
侵入経路の特定
WordPressやプラグインの脆弱性を突かれている場合、Webアクセスのログからだいたい特定できるはずです。
不正ファイルの一番古いタイムスタンプあたりのログを確認すると流れが分かる、、はず。
超手抜きなまとめですが、このあたりを確認しておけばなんとかなることが多いでしょう。
あとはバックアップからコンテンツファイルを戻し、データベースのダンプをリストアすれば復旧です。
めでたしめでたし。
最後に変なプロセスがないことの再確認は忘れずに。
まとめ
改ざん、こわいですね。
改ざんされるとそこへ向けて大量にアクセスがやってきて負荷も上がったりして、運用的にも困ったやつです。
適切に防御して安全にラクに運用したいものですね。
それではまた!
