サーバー移転してから、ログの保存がいまいちわかりづらくてやっていませんでしたが、ログを保存するようにして昨日ダウンロードしたので久しぶりにiLogScannerで解析してみた。

ログが、正確に一ヶ月分なのか見てみると10月３１日の12時から、１１月15の１時くらまででした。

あれ・・・ めちゃめちゃ多いやん。何これ。うちのアクセスってほとんど攻撃者かよと思えるくらい多いではないか・・・。そんなに恨まれるようなことは、していないつもりなんだが・・・。たった約１５日でこれかよ。大杉。

ログを見てみた。

いろいろご意見はあろうが、http://www.milw0rm.com/ のフィードをYahoo Pipesから、Joomlaをキーワードにフィルタリングして、Homeの左カラム、メニュー下に表示するようにしました。（問題あればご指摘ください。）

Yahoo Pipesのリンクは以下、

http://pipes.yahoo.com/pipes/pipe.info?_id=f6062e55a71474c1dd2f841bfe856315

また、RSSリーダーに登録するなら、以下

http://pipes.yahoo.com/pipes/pipe.run?_id=f6062e55a71474c1dd2f841bfe856315&_render=rss

Yahoo Pipesは、誰でもコピーして作成できるので応用すればいろいろな事が可能ですね。

４月のiLogScannerの結果報告です。

今回の攻撃もディレクトリトラバーサルが主だったようですが、件数は激減しています。少し増えているのがSQLインジェクションとOSコマンドインジェクションです。その他は何でしょうか・・・気になるところです。

ログを眺める
攻撃に使われたURL中に含まれているエクステンション名

• extcalendar - 使ってない
• multithumb - 使ってない
• virturemart - 使ってない
• ongumatimesheet20 - 聞いた事も見た事もない
• docman
• fireboard
• cmimarketplace - 聞いた事も見た事もない
• alphacontent
• /modules/Forums/admin/ - 何これ？

だから気をつけた方が良い。
あえて、煽る事にもなりかねないのでエクステンション名を書きませんが、未対策のものばかりです。

少なくとも自分の使っているエクステンション、特にコンポーネントを中心にたまには、Googleで検索してみることをお薦めします。攻撃者も同じように検索して攻撃するサイトを探しているようです。

運悪くヒットしてしまったら

• 対応策が書いてあるならとりあえず試す。
• よく読んで自分で書き換えて対応する。
• アンインストールする。
• 誰か詳しい人に頼む。
• ひたすら祈る。
• 寝る。

フォーラムコンポーネントで問い合わせがあったので書きます。

Joomla!1.5Nativeと書かれたコンポーネントがたくさん出てきている。参考になるコンポーネントはたくさんあるが、よく見て下さい。インストールしてそのコンポーネントのリンクを作ります。そしてそのコンポーネントを開くとそのコンポーネント関連のリンクが、

http://yoursite.com/component/com_コンポーネント名/なんとか

なんてなってないですか？これでも、Nativeなの？私としてはNativeな環境で動くだけじゃなくてその機能もNativeでないとNativeって言えないのじゃないの？。

これは、どういう事かというとJoomla!1.5本体が持っているSEFURLの機能を実装していないということです。そう、上記のように表示されるなら、Joomla!1.0.xと同様か、以下の機能しかないってこと。

そういうエクステンションには穴があるかもしれないと疑ってかかった方が良いくらいだと思う。昨日も、そのあるフォーラムコンポーネントで穴を発見した。最近は、脆弱性をつく攻撃が多いから注意しないと。