【nginxでの対策】サイトが改ざんされ、不正ファイルindex_old.phpが設置される

FreeNAS
スポンサーリンク


JPCERT/CCによると、最近サーバーに不正なファイル「index_old.php」が設置され、トップページに不正なファイル「index_old.php」を読み込ませる処理が追加されるといった、改ざん報告が挙がっているようです。

どうやら、この「index_old.php」を設置した攻撃者の意図としては、サイトのアクセス回数や閲覧者などの利用状況などについての調査を行っているようで、大規模攻撃への準備では無いかと危惧されています。

もちろん、サーバーがクラッキングされないようにしていれば良いのですが、サーバーの乗っ取り以外にも不正なファイルを設置する手段はいくつか存在します。

この記事では、乗っ取り以外の被害を防ぐ簡単の手段を紹介したいと思います。

仮にファイルが設置されても、アクセスできないようにすれば良い

今回は、nginxの設定ファイルに設定を追加し、もしファイルが設置されてもクライアントがアクセスできないような設定を実施します。

/etc/nginx/nginx.confもしくは、/etc/nginx/sites-available/<各バーチャルホストの設定ファイル>のserver{ }内に、以下の設定を記載します。

    location = /index_old.php {
        return           403;
    }

簡単な解説ですが、WEBサーバーのルートディレクトリ内に保存されている、index_old.phpへのアクセスがあった場合は403エラー(403 Forbidden)を返すことで、index_old.phpへアクセスできないようにしています。

Syobon
この手法は、サーバー乗っ取り以外での攻撃の被害を回避する手順ですので、これを設定しているから安心、と言うわけではありません。

最近では、Wordpressを初めとしたCMSサイトへの改ざん攻撃や、セキュリティ設定の甘いサーバーの乗っ取りなどの被害をよく見ます。乗っ取られた場合や、改ざんされた場合、あなたは被害者と同時に、加害者にもなってしまいますので、日頃からセキュアなサーバー運用を目指してみましょう。

Source: JPCERT

スポンサーリンク






コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

ABOUTこの記事をかいた人

スマートフォンからIoT、サーバーに至るまで、ありとあらゆるデジタルガジェットを好みます。

ネタに走ることが好きな性格上、日頃からバカみたいな事に全力で取り組んでいます。

例えば、Googleで「ICOCA残高 Twitter」と検索すると、検索結果の一番上にTwitterのアカウントページが表示されたりします。