サポート » バグ報告と提案 » SQLインジェクションでの改ざん

  • 解決済 Eiichi Uchibori

    (@eucreate)


    4.9.8にアップしたところ、Webページ改ざんされました。

    WAF対応のサーバーのバージョンを4.9.8にししばらくしたら、
    ログが残っていたので、見てみたところ、
    %2fwp%2djson%2foembed%2f1%2e0%2fembed%3furl%3dhttp%3a%2f%2fwww%2eexample%2ecom%2farchives%2f34%27%29%20UNION%20ALL%20SELECT%20NULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2d%2d%20DhKz
    %2fwp%2djson%2foembed%2f1%2e0%2fembed%3furl%3dhttp%3a%2f%2fwww%2eexample%2ecom%2farchives%2f34%27%20ORDER%20BY%201%2d%2d%20WPrJ
    等のSQLインジェクション攻撃のようです。

    WAFが無い,無効,適切な設定でない場合は、
    .htaccessの書き換えや、PHPファイル等の書き換え、不正なファイルの作成等の改ざんが行われるようです。

    なお、4.9.7では問題無いようです。

4件の返信を表示中 - 16 - 19件目 (全19件中)
  • 最後に質問をしましたが、誠に勝手ながらこれでこの件は解決済みとさせていただきます。
    皆様に心よりお礼申し上げます。

    @eucreate

    ご指摘の件ですが、仲間がいるかどうかというより、セキュリティに関する知見があるかどうかが問題ではないでしょうか。セキュリティ専門のエンジニアというのもいますし、最近は攻撃方法も多彩なので、継続的に情報を追っておく必要があります。

    – IPAのセキュリティ情報 https://www.ipa.go.jp/security/announce/alert.html
    – Sucuriのブログ https://blog.sucuri.net/

    他にも色々ありますが、普段からセキュリティの情報を摂取しておくことをオススメします。

    やはり、今後は私のような仲間を持たない開発者では、無理なのでしょうか?

    仲間がいないと身軽で楽ですが、やはり専門的な強みを複数持った仲間でチームを作った方がよいにきまっています。衆寡敵せず、です。また、友達や同僚、部下などでなくとも、頼りになるパートナーとしての外注先を1つぐらい持っておくと心強いですね。

    なんでも自分一人でできればそれに越したことはないですが、人間の力には限界がありますので。

    ついに大塚商会のサーバーで、大規模な改ざんが行われてしまったようで、非常に残念に思います。
    https://mypage.otsuka-shokai.co.jp/news/detail?linkBeforeScreenId=OMP20F0102S01P&oshiraseNo=0000001172

    あの時に、本家,IPA,JPCERTに報告しましたが、結局は何も対応されなかった事で、実際に被害が広がってしまいました。

    非常に残念です。

    私見では問題無いと思います。
    結局は大塚商会のサーバー設定に間違いがあって起きた事だと思います。
    現にサーバー設定が適正であれば被害に遭わなかった事は明白です。
    結果として私は時間をかけて調査し、それを報告した私自身が最もバカでした。

    皆様にお騒がせしてしまい申し訳ありません。
    そしてそんな私に真摯に回答をしていただいた方々に感謝申し上げます。

4件の返信を表示中 - 16 - 19件目 (全19件中)
  • トピック「SQLインジェクションでの改ざん」には新たに返信することはできません。