ここ数日間で、Joomlaの脆弱性をついた攻撃がめちゃくちゃ増えています。
Joomla 3.4.6以前のバージョンを使っている方は、軒並みやられています。
Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因
レンタルサーバーの仕様によって、攻撃されやすいサーバーと、攻撃されにくいサーバーがあるようです。
一度バックドアを仕込まれると最悪で、サイトを書き換えられたり、メールのSPAM送信されたりしますからね。
どんなファイルを置かれるか分かりませんが、海外のサイトに危ないファイルの一覧があったので、ご紹介します。Joomlaをお使いの方は、絶対にチェックしてください。
- /components/com_config/dir.php
- /libraries/joomla/exporter.php
- /libraries/joomla/http/system.php
- /libraries/cms/form/functions.php
- /libraries/joomla/observer/dump.php
- /libraries/f0f/template/start.php
- /libraries/joomla/access/xml.php
- /libraries/f0f/form/dirs.php
- /media/system/cp1251-a6.php
- /media/jui/fonts/cache-14a.php
- /media/cms/css/ini.php
- /plugins/system/canonical/db.php
- /plugins/content/vote/file.php
- /plugins/xmap/com_content/themes.php
- /modules/mod_footer/stats.php
- /mod_wrapper/search.php
- /general.php
攻撃元のIPアドレス
流通している悪用コードを使えば、誰でも簡単に攻撃ができるようです。
最初の攻撃はIPアドレスが「146.0.72.83」「74.3.170.33」「194.28.174.106」からの攻撃だったようです。ログを調べてこれらのIPアドレスが見つかったら、ウェブサイトへの攻撃があった可能性が高いです。サイトの修正などの対策が必要です。これらのIPはブロックしてくださいね。
攻撃されるJoomlaバージョン
Joomlaバージョン 1.5.0 から 3.4.5の脆弱性をついた攻撃なので、Joomla 3.4.8へ必ずアップデートしてください。
攻撃を受けるPHPバージョン
- PHPバージョン 5.4.44 以前の 5.4.x
- PHPバージョン 5.5.28 以前の 5.5.x
- PHPバージョン 5.6.12 以前の 5.6.x
外部からの攻撃に備えるには
海外IPからの攻撃が多いので、海外IPからのアクセスは遮断。
通常のパスワードだけでは不安なので、必ずセキュリティーを2重3重にかけましょう。Basic認証とGoogle認証システムを導入しておけば安心です。
海外IPのアクセスを制限
でもVPN使われちゃうとアクセスされてしまいますが・・
Basic認証
JoomlaやWordpressの管理画面には必ず導入してください。
2段階認証を導入すべし
必ず2段階認証を導入してください。
Joomlaで2段階認証を設定する
Joomlaを使ってサイト運営している方は、必ず管理画面へのアクセスに2段階認証を掛けるようにしましょう。 Joomlaは、「ドメイン/administrator」で管理画面へのログイン画面がでます。サイトの乗っ取りを仕掛けるハッカーは、手...
ischool.co.jp
2016.10.11
ナレッジ