iLogScannerが機能アップしてSQLインジェクション以外の検出もされるようになったので、毎月行っていた「SQLインジェクション攻撃・・」のタイトルを変更することにしました。

さて、もう昨年となりましたが、12月の結果は以下です。

先月の結果と比較してみると増えている事がわかります。

11月の時もそうでしたが、アクセス数が、増えているのはもしかして攻撃なの？って思っていましたが、そこで解析してしまうと対応しなきゃいけない = 時間がかかるので月をまたぐまで放置を決め込んでいたのですが、どうも攻撃ばかりではなかったようです。ひとまず安心。

WEBサイトは、企業のイントラネット内のネットワークとは異なり、外に裸で立っているようなものだとしみじみ思います。様々な脆弱性情報に基づき行われる攻撃は、その情報が公開されてから対策を講じても遅いかもしれません。が、何もしていなければ、最悪の結果を招く事は間違いありません。

気をつけましょう！

iLogScannerが、先月機能強化されたと知っていましたが、まだ試していなかったので今回でどれくらい変わったのか見る事ができました。解析スピードは機能強化が原因でしょうか、かなり遅くなったようです。と、書きながら解析していますが、かなり時間かかるようなので放置するくらいの方が良さそうです。

進捗のバーからすると現在５％位が完了したところでしょうか、ディレクトリトラバーサルに３件となっています。以前のiLogScannerには無かった項目ですよね。他にもOSコマンドインジェクション、クロスサイトスクリプティングなどSQLインジェクション以外に増えているようです。

今回は、起動当初他のJavaアプリとの干渉なのか、起動できませんでしたがその、たぶん該当するであろうアプリを終了させた後に起動すれば問題なく起動できました。

でも、これを書きかけてから早１時間以上経過していますがまだ解析が終わりません。先月は、アクセス数がかなり伸びたのも原因でしょうか。さて、また筆（筆ってか）を置いて・・・。

５月のSQLインジェクション攻撃をiLogScannerで解析してみました。・・・と、ところが途中でサーバーを移転してCORE SERVERになったのですが、CORE SERVERってどこにapacheのログあるの？検索してもXREAではヒットするけどCORE SERVERでは無さそう。

後でゆっくり探そう。（誰か知ってたら教えてください。）

とりあえず５月１８日までのログを解析してみました。

「グヘッ。」まだたくさん攻撃してきてます。１８日までのログでこの件数なので先月の解析より増えているかもしれません。解析されたログを見てみると相変わらずalphacontentコンポーネントがらみのURLが多いですが、そうでない物（通常のURLからのもの）も約半分くらいの割合になっていました。また、日時を見ると毎日というわけではなく不定期に集中して行われているようです。

おそらく、Proxyを介しているでしょうからIPに対する対策を講じたとしてもいたちごっこでしょうね・・・きっと。

最近は、contactからスパムメールを送信してくる方もいたり。（securityimageをハズしています。）contactから送信できていなかったのですが、先日ご指摘を受けて直したとたんにスパムです。captchaは、独自の物かフリーのライブラリを使って作ってみようと思っています。

・・・んか、こんなこと書くと煽っているような気もしないでもないので来月からやめるかもしれません。

前回３月のログで解析を行ったら３９７件のSQLインジェクション攻撃が発見されましたが、今回４月のログを再び解析してみました。

激減？141件でした。

なんと今回の解析後のログファイルを見てみるとすべてが、alphacontentへの攻撃でした。

しつこいなぁ。

攻撃して穴があったら報告してくれるならいいけどそうじゃないだろうし・・・。別の意味で報告か・・・。

自分の使っているエクステンションのセキュリティレポートには絶えずアンテナを・・・。

だけど今回のインジェクション攻撃って、GETのパラメータに不正なSQLクエリを挿入するものですが、Joomla!1.0.xの場合（1.5もそうだろう）そのパラメータを取得するときにフィルターをかけているのでサニタイズされて取得するようになっています。それを知っていたので放置していたこともあったのですが、破れるクエリってあるのかなと少し不安になるくらいの攻撃数でした。

ITproの記事でIPAからSQLインジェクション攻撃をログから検出してくれる無償ツールが公開されたとあったので早速試してみた。

はじめはそのソフトがダウンロードできるものかと思っていたが、ブラウザ上で動くJavaで作成されたものでした。私は、ブラウザ上ではJavaはオフにしているので少し困惑しました。

早速解析してみました。

解析中に攻撃件数が表示されるのですが、どんどん増えていくではないですか。
なんと！先月だけでSQLインジェクション攻撃が397件 攻撃が成功した可能性の高い件数は０件だったので胸をなで下ろしましたが、一瞬どきっとしました。

ログを見てみると大半がalphacontentコンポーネントへの攻撃でした。alphacontent（バージョンは私が使っている物で2.5.8です。少し改造していますけど。）にはSQLインジェクションの脆弱性があるとどこかで見て知っていたのですが、何もしていなかったのに成功はしていないようです。知らないだけかもしれませんが・・・。（今はもう強化しました。）他にもgmaps, commentsコンポーネントへの攻撃がいくつかありました。脆弱性が公表されてからなのでしょうが、悪意のある人にとってはおいしい情報なのでしょうね。勘弁してくれって感じですが。

実際にテストサイトでその攻撃をいくつか試してみました。ログから拾って取得する値を出力するようにして実行してみました。出力される値はただの整数でした。Joomla!がサニタイズしてくれているようです。

みなさんも一度試してみてはどうでしょう。
解析対象のアクセスログですが、多くのレンタルサーバーはApacheをお使いだと思いますのでまず問題なく解析できると思います。ApacheならcommonタイプでW3C拡張ログファイルタイプならIIS5.0/6.0でもOKのようです。どこにあるかはサーバーにより異なると思いますが、大抵logやlog_archiveなどのフォルダをFTPでアクセスすると見ることができると思いますのでそのなかに****.gzや、access_logなどと書いてあるものをローカルに保存します。*.gzとなっているなら解凍します。

1. ブラウザのJavaをONにしてからIPAのサイトを開き、利用規約に同意します。
2. アクセスログ形式をを選択する。
3. 先に保存したアクセスログのファイルを「解析対象アクセスログファイル名」で選択します。
4. 出力先のフォルダを指定します。
5. 解析開始ボタンを押下。

さてみなさんの解析結果はいかがでしたでしょうか？

しかし・・・使っているバージョンや使っているアプリケーションを悟られないようにすることもホント大切ですね。