サポート » プラグイン » download managerのpassword lockが破られた

  • tom angle

    (@tom-angle)


    お世話になります。

    ファイルのダウンロード管理にDownload Managerを使用しています。
    パスワードでlockしたあるファイルが何故かダウンロードされました。何が起こっているのかアドバイスをいただけないでしょうか。

    1.状況と経緯

    Download Manager バージョン 2.9.58 を使用してファイルを公開しています。あるファイルを限られた方にだけ公開するため、パスワードを設定した。(誰にも教えていない)
    ところが、ある日、そのファイルがダウンロードされたことをDownload Managerのhistory機能の履歴で見つけました。IPアドレスは、ある有名企業のもでした。
    不思議に思い、サーバーのアクセスログを調べると、そのIPによるアクセスは、たった1行で、次のようなものでした。

    mywebxxx.com 100.99.xx.xx – – [14/Feb/2020:12:14:54 +0900] “GET /download/permalink_xxxxx/?wpdmdl=3112&_wpdmkey=5e45f148adbda HTTP/1.1” 200 47787520 “-” “-”

    ここで、「mywebxxx.com」は、アクセスされた私のサイト、 「100.99.xx.xx」は、アクセス元のIPアドレス、「permalink_xxxxx」は、ファイルのアクセス先のパーマリンクです。(ここでは、いずれも仮名にしています。)

    他のIPからのダウンロード時のアクセスログをみると、サイト上でクリックをするため複数行のアクセスログが記録されています。ただし、この不正アクセスのIPからのアクセスは、GETコマンド1行のみです。また、パスワードは、wpdmkeyというキーの後ろに指定してあるようですが、これは、私が設定した実際のパスワードではなく、Download Managerが理解できる内部的な変換されたキーのようです。

    2.教えていただきたいこと

    Q1. ホームページ上のダウンロード用のページを開かずに、このGETコマンド1行でDownload Manaerが管理しているファイルをダウンロードしているようですが、これは、人が手で操作したのではなく、何らかのプログラムでアクセスしているということなのでしょうか。

    Q2. この犯人?は、どのようにして、Download Manager用に変換されたキー(wpdmkey=5e45f148adbda)を知ることができたのでしょうか。私の設定した実際のパスワードを入手できたとしても、Download Managerが理解できる変換されたキーは、サーバーのログを見ない限りわからないはずです。

    Q3. GETコマンドの最後の部分が “-“,”-“となっています。他の通常のダウンロードのアクセスログでは、ここには、アクセスしたページアドレス と アクセス元のブラウザーのバージョン等の情報が設定されています。この”-“,”-“は何を意味するのでしょうか。

    なお、この不正アクセス元のIPは、lockされたファイル以外にも、一般に公開している別のファイルを、ほぼ毎日ダウンロードしています。そのときも、WEBページにアクセスすることはなく、GETコマンド1行でダウンロードを実行しています。

    もし、この犯人?がプログラムでGETコマンドを発行しているのであれば、こちらでパーマリングを変更すればエラーになるだろうと思い。パーマリングを変更してみました。
    ところが、その翌日に実行されたGETコマンド行には、変更した新しいパーマリンク名がすでに反映されていました。その日のすべてのアクセスログを検査しましたが、変更前のパーマリング名でアクセスされた履歴は一切ありません。

    Q4.・・・・ということは、この犯人?は、なんらかの方法で、Dowanload Managerの設定変更を自動的に取得し、次回のダウンロードの実行時に使用している・・・のでしょうか。 

    どうぞよろしくお願いいたします。

8件の返信を表示中 - 1 - 8件目 (全8件中)
  • munyagu

    (@munyagu)

    こんにちは

    _wpdmkeyの部分はmasterkeyだと思うのですが、違いますでしょうか?

    Q1. 多分そうです。

    Q2. マスターキーはファイルを登録する画面下の「Package Setting」のところに書かれています。
    これは変換されたわけではなく、登録処理をしたときのタイムスタンプから生成されたものです。
    登録日時をミリ秒まで知ることが出来ればこれと同じものを生成できます。
    しかし、私の知る限り、ミリ秒はどこにも保存されていません。
    とにかく、「Regenerate Master Key for Download」にチェックをつけて保存することをお勧めします。
    この、直接ダウンロード可能なリンクの機能を無効にする方法があるかもしれませんが、私はこのプラグインを使ったことが無いので分かりません。

    Q3. 機械的にアクセスされている場合、リファラーとユーザーエージェントが設定されていないとそのようになるかもしれません。
    パーマリンクはサイト上からいかようにも取得することができますので、それも含めて自動化しているのではないでしょうか。

    Q4. そうなるんじゃないでしょうか。

    とにかく、隠されているものに不正にアクセスしようとすることは法に触れる行為です。
    今回がそれと断定できるわけではありませんが、その有名企業にこのような行為が行われているということをお知らせしてやめていただくことはできると思います。

    また、WordPress Download Manager プラグインは過去にいくつかの脆弱性が報告されています。
    最新版をおつかいでないならアップデートしてください。

    tom angle

    (@tom-angle)

    munyaguさん、返信ありがとうございます。

    >今回がそれと断定できるわけではありませんが、その有名企業に
    >このような行為が行われているということをお知らせしてやめていただくことはできると思います

    このIPのWHOIS情報に登録された不正アクセス(abuse)時の連絡先e-mailに報告しましたが、返信なし。2回催促しても無視されました。そこでその会社の日本法人へ電話で報告しましたが、「この問題を受け付ける窓口はありません。お客様ご自身で調べてご判断ください。」とつれない返答でした。

    その後も複数のIPアドレスでほぼ毎日ファイルがダウンロードされています。これは公開ファイルなので不正ではないのですが、何故、何度も何度も同じファイルをダウンロードするのか、理解できません。
    今のところ実害はない(あるいは私が気づいていない)のですが、とにかく不気味です。

    Q5.Wordpress上で特定のIPのアクセスを禁止する設定方法はありますでしょうか。

    どうぞよろしくお願いします。

    munyagu

    (@munyagu)

    「htaccess ip 制限」などで検索してみてください。

    tom angle

    (@tom-angle)

    munyaguさん、ありがとうございます。

    >「htaccess ip 制限」などで検索してみてください。

    アクセス制限を設定する場合、WordPressの最上位のフォルダー、つまり、wp-admin, wp-content, wp-includesのフォルダーの親フォルダーに設定すればよいのでしょうか。

    どうぞよろしくお願いいたします。

    munyagu

    (@munyagu)

    いますでに最上位フォルダに htaccess が存在すると思いますので、そこに追記すれば良いです

    tom angle

    (@tom-angle)

    munyaguさん、ありがとうございました。

    tom angle

    (@tom-angle)

    munyaguさん、

    教えていただいた方法でIPの制限を設定できました。ありがとうございました。

    もしできれば、以下についてもアドバイスをいただけると助かります。

    Download Managerでファイルにパスワードを設定すると、direct downloadする際は、masterkeyが必要であること理解いたしました。
    そこで、パスワードを設定していなかったファイルにパスワードを設定して、不正アクセスをしてくるIPがどのように振舞うのか確認しました。
    すると、

    1.パスワードが設定する前、GETコマンドでMasterKeyなしで正常にDLした。
    2.パスワードを設定した後、GETコマンドでMasterkeyなしでDLを試み失敗した。
    3.GETコマンドにmasterkeyを追記して正常にDL完了。

    上記操作は、同じIPで同じ日に行われたことがログが確認できました。犯人は、ステップ2と3の間(3時間ほと)にmasterkey調べたと思われます。しかし、その間のサーバーログを1行づつチェックしましたが、私の見る限り特におかしなコマンドはありませんでした。
    通常は、masterkeyは、Download Managerの管理画面でしか見ることができないと思いますが、どのようにして犯人は、masterkeyを得ているのでしょうか。もし、アドバイスがあれば、いただけると助かります。

    なお、私のdownload managerは、最新版でなかったので、最新版を適用したところ、WPのバージョンと不整合があるのか、ダウンロードがうまくできませんでした。(DLボタンを押してもDLが開始しない)。
    当面は、現行のdownload managerを使用し続けるため、IP制限以外に手当すべきことあればやっておきたいと思います。

    どうぞよろしくお願いいたします。

    munyagu

    (@munyagu)

    WordPress Download Manager 2.9.94 未満には脆弱性があることが分かっていますので、2.9.94 未満をお使いの場合は、必ずアップデートください。

    どのように masterkey を得ているのかは私には分かりません。
    WordPress 自体やテーマ、他のプラグインの脆弱性を利用して postmeta の値を取得しているのかもしれません。
    IP制限以外に手当すべきことは、すべてなるべく最新のバージョンを使うことです。
    このような脆弱性が疑われる事案が発生したのであれば、どこか別の環境にコピーして WordPress、テーマ、プラグインをアップデートしたものを構築し、サイトをそちらと差し替えることをお勧めします。

8件の返信を表示中 - 1 - 8件目 (全8件中)
  • このトピックに返信するにはログインが必要です。