ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
WinSCPのベーシックな設定 : ひろ式めもちょう
きのうに引き続き、いざというときのキャプチャ画像保存用めも。 Windows用のSCP/SFTPクライアント「WinSCP」を、特に「複数人が同時にサーバ上のファイルを更新する」環境で使う際のベーシックな設定。 ポイントは2つで 全ファイルの転送モードを「バイナリ」にしておく これは個人的な趣味だが、いにしえのFTPの時代からクライアントソフトが行末や漢字コードを自動変換してくれるのって基本的にじゃまにしかならないので。クライアント環境側で意識して行末・漢字コードを合わせる umaskを002に(デフォルトパーミッションを0664に) 「ユーザプライベートグループ」方式でユーザ管理しているホストでの協調作業のために。これをちゃんとやらんと、WinSCPでデザイナさんにファイルをアップロードしてもらったら、それを書き換えられなくなったとかいうトラブルが多発する 手順: WinSCPを起動する
Linux設定メモ:ftp、sftpのパーミッション - minddump
wwwサーバーを複数の者で運営している場合、 サーバーにアップロードしたファイルを後で別の者が書き換える 必要が出てきます。そのような場合、 アップロードしたファイルのグループを同じにして、 グループにも読み書き権限を与えるよう設定しておくと便利です。 1. 同じグループでアップロードする まず、グループですが、各ユーザーの管理をしている /etc/passwd をみるとユーザーがログインする時のグループなどが 記述されています。 user1:x:510:505::/home/user1:/bin/bash とあれば、4番目の要素505がグループID。 グループの管理は、/etc/groupをみます。 wwwgroup:x:505:user1,taro,hanako とあればwwwgroupが505です。メンバーを追加する必要があれば、 カンマで区切って追記します。 2.グループを書き込み
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
