ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策

既に報道されているように、ロリポップ！レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備

[shinagaki]

ln -s 東京都/町田市 神奈川県/町田市

[sfujiwara]

「神奈川県町田市」

[tiadeen2]

mod_rewriteを利用するのにFollowSymLinksが必要っぽいんだけど、mod_rewriteを使ったWordpressのプラグインはたくさんありそう。

[mib-dbsinfra]

あらゆる部分で必要最小限の権限設定である設計とする基本的かつ簡単な対策。

[sin20xx]

田中社長のコメントと同様。これが今回の最大の原因だと思う。昔のレンサバは結構この手のやつを放置しているモノがあったが、最近のサービスの中では珍しいケースのように思える。微妙な事例だ。

[cs_sonar]

FollowSymLinksってだけでここまで書けるのすごい・・・。Apache自体のユーザーがバーチャルホストごとに各ユーザーで動かせたらベストかなぁって思う。

[ysync]

シンボリックリンク攻撃は、Androidのroot取得でお世話になりました。

[labocho]

シンボリックリンクを作って、apache ユーザにアクセスさせることで、本来読み込み権限のないファイルにアクセスできる、拡張子を変えることで php を実行せずソースを読む なるほど

[sheile]

FollowSymLinksを使った攻撃の分かりやすい説明。パーミッション404とかなんでGroupよりOtherの方が権限高いんだ、おかしいだろ。とか思ってたけどちゃんと理由があったのね。はずかし。

[takayan]

t/シンボリックリンクの「便利さ」と「こわさ」、「必要な対策」についてわかりやすく解説されている中に、「神奈川県町田市」という思いもよらぬツッコミポイントが。

[fudafoota]

すごく勉強になった

[antennavoice]

phpがだめっていうことなのかなー。

[thayato]

“FollowSymLinks”

[FTTH]

徳丸浩氏がとくまる先生で高木浩光氏がセキュリティヤクザ呼ばわりされるのは何故か、前者について御理解いただけるエントリ

[adsty]

シンボリックリンクを悪用した不正閲覧の手口。

[hogege]

共用サーバーにおけるシンボリックリンク攻撃

[catatsuy]

分り易すぎる

[itochan]

パーミションていうか、アクセス権ていうか、難しい。

[potato777]

シンボリックリンク攻撃。拡張子をtxtにしたシンボリックリンクで他のユーザーのPHPファイルのソースコードを Apache経由で閲覧。必要最小限の設定を心がける。

[tarchan]

＞通常は閲覧できないディレクトリ上の、攻撃者に読み込み権限のないデータファイルも、シンボリックリンクを設定することで、外部から閲覧できる

[nunnun]

知らなかった。そしてこれ他にも対策しないとまずいところ大そう。。。

[akkun_choi]

ディレクトリトラバーサル的影響

[masutaro]

シンボリックリンク攻撃はじめて知った。こわっ！

[akulog]

わかりやすい。説明するのに使えそう。

[nilab]

ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 | 徳丸浩の日記

[TsuSUZUKI]

cf. http://tanaka.sakura.ad.jp/2013/09/symlink-attack.html

[kimutansk]

なるほど。こういうわけでしたか。　701設定である理由がここにあったわけでしたか。

[rin51]

FollowSymLinks

[tmatsuu]

わかりやすい。レンタルサーバのような環境は別として、FollowSymLinksの方が性能的には有利なので、今回の件を受けてとにかくoffすればいいものでもないので注意。

[Haaaa_N]

おおこわいこわい シンボリックリンク機能は無効にして設定上書き機能もむこうにしよう

[longroof]

外部設定ファイルなんか駆逐しちゃえばいいのに(´・ω・｀)AllowOverrideりすぎだろ/えっ神奈川県町田市！

[Bowz13]

コメント

[foxsafari]

コメント

[KoshianX]

確定とまではいかないだろけど、手口としてはやはりこれが有力か。

[kontonb]

ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 | 徳丸浩の日記

[fukken]

セキュリティ問題まとめおじさん勉強になるなぁ

[todesking]

便利

[tsupo]

シンボリックリンク攻撃

[Hayama01]

apacheユーザーに成り済ますわけだ。

[Cald]

知らなかったよ。