Joomler!.net - Decided on Joomla!

Jboard is Multiple Board!

 

Archives

Blog

Demo

Home » Blog » alphacontent
0 votes
Written by:Joomler! 5248 hits Friday, 08 January 2010 10:13

iLogScannerで解析してみました。徐々にアクセス数が増えているが、それは攻撃数だろうかと思ってみたり・・・。

ilogscanner_result_dec_2009

今回は、攻撃に成功した可能性の高い件数が7件でした。先月もあったのでもうびっくりしません。ログを見てみると案の定SQLインジェクションとはほど遠いものが6件と、インストールしてもいないコンポーネントへのインジェクション攻撃が1件でした。心配ない・・・。

 
0 votes
Written by:Joomler! 5309 hits Saturday, 09 May 2009 16:35

4月のiLogScannerの結果報告です。

ilogscanner_200904

今回の攻撃もディレクトリトラバーサルが主だったようですが、件数は激減しています。少し増えているのがSQLインジェクションとOSコマンドインジェクションです。その他は何でしょうか・・・気になるところです。

ログを眺める
攻撃に使われたURL中に含まれているエクステンション名

  • extcalendar - 使ってない
  • multithumb - 使ってない
  • virturemart - 使ってない
  • ongumatimesheet20 - 聞いた事も見た事もない
  • docman
  • fireboard
  • cmimarketplace - 聞いた事も見た事もない
  • alphacontent
  • /modules/Forums/admin/ - 何これ?
 
1 votes
Written by:Joomler! 8119 hits Friday, 02 May 2008 17:32

前回3月のログで解析を行ったら397件のSQLインジェクション攻撃が発見されましたが、今回4月のログを再び解析してみました。

ilogscanner_200805

激減?141件でした。

なんと今回の解析後のログファイルを見てみるとすべてが、alphacontentへの攻撃でした。

ilogscanner_alphacontent

しつこいなぁ。

攻撃して穴があったら報告してくれるならいいけどそうじゃないだろうし・・・。別の意味で報告か・・・。

自分の使っているエクステンションのセキュリティレポートには絶えずアンテナを・・・。

だけど今回のインジェクション攻撃って、GETのパラメータに不正なSQLクエリを挿入するものですが、Joomla!1.0.xの場合(1.5もそうだろう)そのパラメータを取得するときにフィルターをかけているのでサニタイズされて取得するようになっています。それを知っていたので放置していたこともあったのですが、破れるクエリってあるのかなと少し不安になるくらいの攻撃数でした。

 
1 votes
Written by:Joomler! 8056 hits Wednesday, 30 April 2008 16:02

最初に・・・

トップページでリンクさせていただいていたサイトをトップメニューからのリンクページに変更させていただきましたのでこの場を借りてお断りいたします。

 

新しいエクステンションを使っていますが、ほとんどテストのためですので不具合ありましたら、コメント・・・無い・・・(そうなんです。コメント機能は間に合わなかったので無しです。)Forumにでも書き込んでいただければと思います。

テストしているエクステンション

  1. JBTabmenu Module
    mootoolsを利用した階層メニューです。(実はまだパラメータ部分が、未完成です。)
  2. JBSystem
    今回の中枢をなすコアエクステンションです。
  3. JBContent Component
    mootoolsとmultiboxを利用したmoovote, mooSocialBookmark(IFrameはちと・・・), moofriendmail, JBPageNavigation, CalenderDateなどなど 。
  4. JBModules
    Contents関連いろいろ。
  5. Combine System
    前宣伝していたやつ。
  6. JTabReplacer
    同じく。
  7. JB multibox
    前からdemo10.joomler.netでデモしてたものをもう少しだけ拡張した。

残念ながら使わなくなったエクステンション

  1. AlphaComponent
  2. !joomlacomment
  3. greybox show

公開できるものだけ順次公開していこうと思っています。もちろん1.5用もです。

 
0 votes
Written by:Joomler! 10253 hits Saturday, 19 April 2008 16:35

ITproの記事IPAからSQLインジェクション攻撃をログから検出してくれる無償ツールが公開されたとあったので早速試してみた。

はじめはそのソフトがダウンロードできるものかと思っていたが、ブラウザ上で動くJavaで作成されたものでした。私は、ブラウザ上ではJavaはオフにしているので少し困惑しました。

早速解析してみました。

ipa_kaiseki

解析中に攻撃件数が表示されるのですが、どんどん増えていくではないですか。
なんと!先月だけでSQLインジェクション攻撃が397件Sick 攻撃が成功した可能性の高い件数は0件だったので胸をなで下ろしましたが、一瞬どきっとしました。

ログを見てみると大半がalphacontentコンポーネントへの攻撃でした。alphacontent(バージョンは私が使っている物で2.5.8です。少し改造していますけど。)にはSQLインジェクションの脆弱性があるとどこかで見て知っていたのですが、何もしていなかったのに成功はしていないようです。知らないだけかもしれませんが・・・。(今はもう強化しました。)他にもgmaps, commentsコンポーネントへの攻撃がいくつかありました。脆弱性が公表されてからなのでしょうが、悪意のある人にとってはおいしい情報なのでしょうね。勘弁してくれって感じですが。

実際にテストサイトでその攻撃をいくつか試してみました。ログから拾って取得する値を出力するようにして実行してみました。出力される値はただの整数でした。Joomla!がサニタイズしてくれているようです。

みなさんも一度試してみてはどうでしょう。
解析対象のアクセスログですが、多くのレンタルサーバーはApacheをお使いだと思いますのでまず問題なく解析できると思います。ApacheならcommonタイプでW3C拡張ログファイルタイプならIIS5.0/6.0でもOKのようです。どこにあるかはサーバーにより異なると思いますが、大抵logやlog_archiveなどのフォルダをFTPでアクセスすると見ることができると思いますのでそのなかに****.gzや、access_logなどと書いてあるものをローカルに保存します。*.gzとなっているなら解凍します。

  1. ブラウザのJavaをONにしてからIPAのサイトを開き、利用規約に同意します。
  2. アクセスログ形式をを選択する。
  3. 先に保存したアクセスログのファイルを「解析対象アクセスログファイル名」で選択します。
  4. 出力先のフォルダを指定します。
  5. 解析開始ボタンを押下。

さてみなさんの解析結果はいかがでしたでしょうか?

しかし・・・使っているバージョンや使っているアプリケーションを悟られないようにすることもホント大切ですね。

 
<<<12>>>
1 / 2

JContentPlus for Joomla!1.5 powered by Joomler!.net

joomler.net is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla!(R) name is used under a limited license from Open Source Matters in the United States and other countries.
joomler.net is not affiliated with or endorsed by Open Source Matters or the Joomla! Project.