サーバー移転してから、ログの保存がいまいちわかりづらくてやっていませんでしたが、ログを保存するようにして昨日ダウンロードしたので久しぶりにiLogScannerで解析してみた。

ログが、正確に一ヶ月分なのか見てみると10月３１日の12時から、１１月15の１時くらまででした。

あれ・・・ めちゃめちゃ多いやん。何これ。うちのアクセスってほとんど攻撃者かよと思えるくらい多いではないか・・・。そんなに恨まれるようなことは、していないつもりなんだが・・・。たった約１５日でこれかよ。大杉。

ログを見てみた。

４月のiLogScannerの結果報告です。

今回の攻撃もディレクトリトラバーサルが主だったようですが、件数は激減しています。少し増えているのがSQLインジェクションとOSコマンドインジェクションです。その他は何でしょうか・・・気になるところです。

ログを眺める
攻撃に使われたURL中に含まれているエクステンション名

• extcalendar - 使ってない
• multithumb - 使ってない
• virturemart - 使ってない
• ongumatimesheet20 - 聞いた事も見た事もない
• docman
• fireboard
• cmimarketplace - 聞いた事も見た事もない
• alphacontent
• /modules/Forums/admin/ - 何これ？

先月分を忘れていました。iLogScannerの結果報告です。

今回の攻撃は主にディレクトリトラバーサルのようでした。先月（２月）から飛び抜けて増えています。あまり多いのですぐにログを見てみました。

ほとんどmultithumbプラグインに対しての攻撃でした。何か脆弱性でもあったのだろうか？でも、私はmultithumbは使ってないっての。あ、ポップアップ使ってるからそう見えるのだろうか・・・。自作のプラグインだっての。

ログ内をmultithumbで検索してヒットした数252である。使っている方は注意した方が良いかもしれない。前回はこれほど目立たなかった。

ちなみにうちで使っているcom_jbはというと169だ。multithumbとかぶっている物がほとんど。優秀！？

攻撃の一例

multithumb.php?mosConfig_absolute_path=../../../../../../../../../

などと続く。そんなに上の階層にいったら空まで行くだろ。

毎月行っているiLogScannerの解析を今月も早速行ってみました。

解析には２時間くらいかかりました。今月も相変わらず攻撃されているようです。

結果、先月よりSQLインジェクションが減ってディレクトリトラバーサルが増えています。

もう結果には慣れてきてしまって「どきっ」とすることが無くなってきてしまいました。

Joomla!1.5.9セキュリティリリースされています。

先月(12月19日)に脆弱性があると書いたが、対応されたようです。SSLの低レベル脆弱性に加え、高レベルのxstandardのディレクトリトラバーサルの脆弱性のようです。

変更箇所を見てみると管理画面のツールメニューにキャッシュのメニューがもうひとつ増えています。また、グローバル設定にも新たな設定が増えていますのでアップデート後は、グローバル設定を確認した上で保存し直す必要があります。

さて、うちもこれからアップデートします。