JPCERT/CCによると、最近サーバーに不正なファイル「index_old.php」が設置され、トップページに不正なファイル「index_old.php」を読み込ませる処理が追加されるといった、改ざん報告が挙がっているようです。
どうやら、この「index_old.php」を設置した攻撃者の意図としては、サイトのアクセス回数や閲覧者などの利用状況などについての調査を行っているようで、大規模攻撃への準備では無いかと危惧されています。
もちろん、サーバーがクラッキングされないようにしていれば良いのですが、サーバーの乗っ取り以外にも不正なファイルを設置する手段はいくつか存在します。
この記事では、乗っ取り以外の被害を防ぐ簡単の手段を紹介したいと思います。
仮にファイルが設置されても、アクセスできないようにすれば良い
今回は、nginxの設定ファイルに設定を追加し、もしファイルが設置されてもクライアントがアクセスできないような設定を実施します。
/etc/nginx/nginx.confもしくは、/etc/nginx/sites-available/<各バーチャルホストの設定ファイル>のserver{ }内に、以下の設定を記載します。
location = /index_old.php {
return 403;
}
簡単な解説ですが、WEBサーバーのルートディレクトリ内に保存されている、index_old.phpへのアクセスがあった場合は403エラー(403 Forbidden)を返すことで、index_old.phpへアクセスできないようにしています。
この手法は、サーバー乗っ取り以外での攻撃の被害を回避する手順ですので、これを設定しているから安心、と言うわけではありません。
最近では、Wordpressを初めとしたCMSサイトへの改ざん攻撃や、セキュリティ設定の甘いサーバーの乗っ取りなどの被害をよく見ます。乗っ取られた場合や、改ざんされた場合、あなたは被害者と同時に、加害者にもなってしまいますので、日頃からセキュアなサーバー運用を目指してみましょう。
Source: JPCERT
コメント