最近（Windows XPだった）何かの拍子によく落ちる。一日に２回、３回などざらになってきていたし、そのたびに起動して使えるようになる時間（１０分以上かかる）を待つのにいい加減嫌気がさしてきて（遅いだろ）Windows 7 にしてみた。

速いよ。（ま、入れたばかりのWindowsはみなそうだが）

でもね。苦労したよ。

５月のSQLインジェクション攻撃をiLogScannerで解析してみました。・・・と、ところが途中でサーバーを移転してCORE SERVERになったのですが、CORE SERVERってどこにapacheのログあるの？検索してもXREAではヒットするけどCORE SERVERでは無さそう。

後でゆっくり探そう。（誰か知ってたら教えてください。）

とりあえず５月１８日までのログを解析してみました。

「グヘッ。」まだたくさん攻撃してきてます。１８日までのログでこの件数なので先月の解析より増えているかもしれません。解析されたログを見てみると相変わらずalphacontentコンポーネントがらみのURLが多いですが、そうでない物（通常のURLからのもの）も約半分くらいの割合になっていました。また、日時を見ると毎日というわけではなく不定期に集中して行われているようです。

おそらく、Proxyを介しているでしょうからIPに対する対策を講じたとしてもいたちごっこでしょうね・・・きっと。

最近は、contactからスパムメールを送信してくる方もいたり。（securityimageをハズしています。）contactから送信できていなかったのですが、先日ご指摘を受けて直したとたんにスパムです。captchaは、独自の物かフリーのライブラリを使って作ってみようと思っています。

・・・んか、こんなこと書くと煽っているような気もしないでもないので来月からやめるかもしれません。

ITproの記事でIPAからSQLインジェクション攻撃をログから検出してくれる無償ツールが公開されたとあったので早速試してみた。

はじめはそのソフトがダウンロードできるものかと思っていたが、ブラウザ上で動くJavaで作成されたものでした。私は、ブラウザ上ではJavaはオフにしているので少し困惑しました。

早速解析してみました。

解析中に攻撃件数が表示されるのですが、どんどん増えていくではないですか。
なんと！先月だけでSQLインジェクション攻撃が397件 攻撃が成功した可能性の高い件数は０件だったので胸をなで下ろしましたが、一瞬どきっとしました。

ログを見てみると大半がalphacontentコンポーネントへの攻撃でした。alphacontent（バージョンは私が使っている物で2.5.8です。少し改造していますけど。）にはSQLインジェクションの脆弱性があるとどこかで見て知っていたのですが、何もしていなかったのに成功はしていないようです。知らないだけかもしれませんが・・・。（今はもう強化しました。）他にもgmaps, commentsコンポーネントへの攻撃がいくつかありました。脆弱性が公表されてからなのでしょうが、悪意のある人にとってはおいしい情報なのでしょうね。勘弁してくれって感じですが。

実際にテストサイトでその攻撃をいくつか試してみました。ログから拾って取得する値を出力するようにして実行してみました。出力される値はただの整数でした。Joomla!がサニタイズしてくれているようです。

みなさんも一度試してみてはどうでしょう。
解析対象のアクセスログですが、多くのレンタルサーバーはApacheをお使いだと思いますのでまず問題なく解析できると思います。ApacheならcommonタイプでW3C拡張ログファイルタイプならIIS5.0/6.0でもOKのようです。どこにあるかはサーバーにより異なると思いますが、大抵logやlog_archiveなどのフォルダをFTPでアクセスすると見ることができると思いますのでそのなかに****.gzや、access_logなどと書いてあるものをローカルに保存します。*.gzとなっているなら解凍します。

1. ブラウザのJavaをONにしてからIPAのサイトを開き、利用規約に同意します。
2. アクセスログ形式をを選択する。
3. 先に保存したアクセスログのファイルを「解析対象アクセスログファイル名」で選択します。
4. 出力先のフォルダを指定します。
5. 解析開始ボタンを押下。

さてみなさんの解析結果はいかがでしたでしょうか？

しかし・・・使っているバージョンや使っているアプリケーションを悟られないようにすることもホント大切ですね。