管理人より(「続きを読む」で全表示/記事本文はこの下)
- 管理人(「ひろ」=岡村 光浩)のプロフィール/自己紹介(おたく Ver.)
- 勤務先(神戸芸術工科大学)公式サイト
- 芸工大生諸君は連絡用ブログも確認のこと(岡村の講義履修者は必ず見ること)。
- 当ブログの記事は全て管理人の私見です。その他当ブログの運用ポリシー(必読)
- ひろの管理するサイトが閲覧不能なときは避難所もご確認ください。
- 過去の話題から ※2007年までの過去記事移動について(個別記事には旧 URL でもアクセス可)
当ブログの記事内容はすべて管理人の私見であり、勤務先・所属組織等の公式見解ではありません。
08/01/01 00:01 - Hiro - - TrackBacks(No Trackbacks) - Permalink
08/01/01 00:01 - Hiro - - TrackBacks(No Trackbacks) - Permalink
« 検定試験 :: 史上最大の... »
Home > Nucleus への不正アクセスに応戦中
Nucleus への不正アクセスに応戦中
昨日、変なのに目をつけられたようで、日本語版sp3 導入済の Nucleus 3.23 の管理操作履歴を見たら、「/item/module/forum/main.php?(別サイトの URL)」に秒単位でひたすらアクセスしようとしてサニタイズされている(どのみちそんなファイルはないので 404 Not Found になっているはずですが)膨大な履歴に気づきました。
そんなファイルはそもそもないんですから、サイトが乗っ取られるとかそういう話ではないんですが、そんなものすごい勢いでこられたんではサニタイズ処理をして履歴を残すこと自体がそれなりに負荷になるわけで、ひょっとして今日鯖が劇重だったのうちのせい?(T_T)と青くなり、管理操作履歴に何も出てこなくなるまで .htaccess に IP をひたすら追加してアクセス禁止にしてやりました。
現在は一応静かになったみたい。おやすみなさい……。
10日7:00追記
違う IP からまだ来てるようっとうしい(--;)
とりあえず全部追加したが……
10日7:10追記
同じ攻撃をうけていたマイミクさんの対応を参考に、Fancy 表示用の item ファイル、selector の前に
修正あり。コメント欄参照。
10日9:20追記
アクセス拒否しても IP 変えて攻めてくる(@_@;)
そんなファイルはそもそもないんですから、サイトが乗っ取られるとかそういう話ではないんですが、そんなものすごい勢いでこられたんではサニタイズ処理をして履歴を残すこと自体がそれなりに負荷になるわけで、ひょっとして今日鯖が劇重だったのうちのせい?(T_T)と青くなり、管理操作履歴に何も出てこなくなるまで .htaccess に IP をひたすら追加してアクセス禁止にしてやりました。
現在は一応静かになったみたい。おやすみなさい……。
10日7:00追記
違う IP からまだ来てるようっとうしい(--;)
とりあえず全部追加したが……
10日7:10追記
同じ攻撃をうけていたマイミクさんの対応を参考に、Fancy 表示用の item ファイル、selector の前に
を追加。if ($itemid=='module')
{
die("not found");
}
修正あり。コメント欄参照。
10日9:20追記
アクセス拒否しても IP 変えて攻めてくる(@_@;)
当ブログの記事内容はすべて管理人の私見であり、勤務先・所属組織等の公式見解ではありません。
posted at 00:00 on 06/10/10 by Hiro - Category: Blog (Nucleus)
posted at 00:00 on 06/10/10 by Hiro - Category: Blog (Nucleus)
Google search for: Nucleus への不正アクセスに応戦中
Local search for: Nucleus への不正アクセスに応戦中
コメント・トラックバックを送られる際には、当ブログの運用ポリシーを必ずご確認ください。
この記事へのトラックバックには、トラックバック元の記事に http://hiro.intlcafe.info/chronicle/item/1814 へのリンクが必要です。
コメント・トラックバックは管理人の承認後に表示されます。
Comments
kimitake wrote:
06/10/10 10:37
Add Comments
コメントの送信には JavaScript が利用できることが必要ですTrackBacks
ひろの日記帳@International Cafeteria
史上最大の侵略(Nucleus への不正アクセス・解決): タイトルに意味はありません(ぉぃ)
昨晩からの攻撃については、IP アドレスでアクセス禁止しても IP を変えて攻めてくる状態が続き、折からの脆弱性対策に導入した kimitake さんの Nucleus 3.23 日本語版...
2006/10/10 12:12
トラックバックURL: http://www.intlcafe.info/weblog/action.php?action=plugin&name=TrackBack&tb_id=1814.
もしあなたのブログがトラックバック送信に対応していない場合にはこちらのフォームからトラックバックを送信することができます。
item の先頭(include の前)に
$sss = explode("/",$_SERVER['PATH_INFO']);
if ($sss[1]=='module')
{
die("");
}
こんな風にした方がいいかもです。
selector の前だと、sp3 の場合、今回のアクセス方法だとサニタイズ対象なので管理履歴に残ります。その分こっちの負荷が高くなります(管理履歴は db で管理してるので)。
上記の方法であれば今回のようなアクセス方法の場合、即終了できるのでこちらの負担をより軽くできると思います。
php のバージョンが 4.1.0 以前の場合は $_SERVER の代わりに $HTTP_SERVER_VARS['PATH_INFO'] にする必要があると思いますが、試してません。