PHP サービスを狙ったワームが増えてます

2012/03/09 Shinji Horiguchi

ワームて？ みみず、ヘビ、ムカデみたいな虫？

画像検索注意！

ウィルスみたいなもの

ウィルスは利用者がヘマこくと感染する

ワームはセキュリティホールを狙う

利用者が何もしなくても感染する

むしろ、セキュリティホールは日々見つかるため、何もしなかったらそのうち必ず感染する

PHPアプリ界隈では 利用者の意識が比較的低い

リテラシーが低いともいう

PHP プログラムは簡単に実行できる

アップローダなどで PHP をアップする

Wordpress のテーマやプラグインに仕込む

phpMyAdmin などを狙う

パーミッションの設定など無くても動く

他の CGI は割と手動で設定が必要

最近増えてます。 国内からワームらしいアクセスが多いです。

感染者が多い証拠

感染者も気づいていない

とくに phpMyAdmin を狙ったワームがすごく増えました。

昔から狙い撃ちされやすい

phpMyAdmin に初心者の傾向

感染してしまうと… サーバのデータを改変、削除されてしまう

他へ感染を広げようとしてしまう

DDoS に利用されてしまう

最近の例だと名古屋市役所のサイト

一台ではできなくても、感染したサーバを多数利用すればできてしまう

もしかしたら急におまわりさんが来て任意同行されるかも

適当に設置してませんか？ MySQL のユーザ作るときの権限

php スクリプトの置き場所

他人に使わせるときにテーマ編集できてしまったり

HTTPS でないのに自宅外からログインしたり

あんまり使わない phpMyAdmin を放置してたり。

MySQLの権限 grant で ALL にしない

create select update insert delete で十分

*.* （全データベース）にしない

必ず使うデータベースだけ

wordpress.* など。

複数の Wordpress サイトをまとめるときは特に要注意

PHP置き場所 利用するユーザは Apache だけ

Debian 系なら www-data

Redhat 系なら Apache

不用意にディレクトリ全体を 777 とかにしてはダメ

あらゆるファイルのアップロード先には注意する

テーマ編集など なるべく他人にやらせない

テンプレートにコッソリワームを仕込むなど容易い

悪意がなくてもヘマする

不用意にテーマをインストールしてしまったり

入力フォームの追加などコピペで済ませたり

プラグインも同じ。

プラグインそのものはもちろん、

記事内部に php 書けてしまうやつはかなり危険

この場合絶対に知らない人に使わせてはいけない

HTTPS云々 HTTPS は暗号化されているのでひとまず安心

だけど、 HTTP の場合はモロバレ

特に WiFi フリースポットなど、悪意が無くてもログからログインパスワードなど見えてしまうことも。

外で使うスマホ、ノート PC で特に注意

3G から接続ならひとまず安心、だが油断しない。

サーバごと納品する場合はかならず SSL 証明書を買う

証明書が正規のものであるかの説明も必須

phpMyAdmin 便利で使ってる人も多いはず

たまにしか使わず放置してる人も多いはず

昔からこれを狙ったワームが多い

セキュリティホールが多いため。

BASIC 認証や HTTPS オンリーにする

必ずアップデートする

使わないなら消す

感染してるかどうか Top コマンドで CPU 利用率など見る

もしくは管理コンソールなどから。

ps –aux などで知らないプロセスが無いか見る

知らないファイルが増えていないか見る

ちょっと膨大かも…

感染してしまったら 基本的に諦め。サーバごと捨てよう

OS から再インストール

本当に必要なデータだけをバックアップ

テーマなどの php コードは捨てる

記事本文や画像だけ残す

記事本体は編集履歴が残ってるので膨大な量

PHP コードを書けるプラグインを導入するときは、一緒に感染している可能性もあるので良く目を通す

サーバ運営の詳しい方に頼る

基本的にみなさんやさしいはずです！

まとめ Wordpress 入門サイトなどもわりと適当にしか書いていないので良く自分で調べて設置しよう！

特にレンタルサーバごと納品する場合など要注意（だと思われます）

気をつけるべき行為 自宅外から投稿

他人に使わせる（共同管理）

プラグインやテーマなど良く入れ替える

キーワード ワーム SQLインジェクション SSL