- ベストアンサー
何が悪いとハッカーにwebページを書き換えられる
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
たまにしか見ませんので遅い回答です。 さすが、「[技術者向] コンピューター 」ならではの回答ですね。 centOS 5.5の宅サーバーがYum自動でMySQL5.5.7にアップデートしたためにMysqlが起動できなくなりバックアップから5.5.6に戻したりしてました。原因が解るまでMySQLの自動アップデートは除外しました。 前置きはこれくらいにして、 サーバーそのもののセキュリティも大切ですが、最近(と言っても特に昨年以降です)もっぱらサーバーを管理するクライアントPCが狙われています。 XP以降標準装備のリモートデスクトップを利用するためにTCP3389(Default値)のターミナルサービスが開始されていますし、エクスプロイト(脆弱性攻撃)を利用してProfessionalでは標準装備のTELENETサーバーをダウンロードさせレジスト登録してTCP23サービスをHomeエディションでも開始させておいたりもされるようです。これらは純正サービスなのでセキュリティソフトに引っかかりません。後はどうやってこのポートへアクセスするルートを作るかですね。 ただ、日本においては(これ以前からWEB広告を利用した一回1~2分間の瞬間攻撃は行われていました) http://gigazine.net/index.php?/news/comments/20100927_security_tool/ を最後になぜか攻撃対象から外されています。この日は尖閣諸島事件の船長釈放前日にもあたります。(関係ない?) http://journal.mycom.co.jp/articles/2010/11/15/jpertcc/ 昨年5月のGENOウイルスの名前で同人とかオタクのサイトが改ざんされるイメージが大きいですが、実際はホームページデザイン会社とかWEBサーバー管理会社がお得意さんのようです。一度に多数のサイトのID・パスワードが入手でき、外部委託の予算がつく官公庁や企業(昨年の4月頃は特に薬品・医療関係が目立った)という訪問者に警戒されないサイトが被害に会ってました。改ざん犯は様々いるでしょうが息の長い改ざん犯は確実に改ざん先を選択していると思われます。FireFoxの未解決脆弱性をターゲットにしたノーベル平和賞ページ改ざんなどのようにTPOを考えています。 FTPユーザーでは権限の無いhttpd.confが改ざん(サイト上のHTMLファイルを削除するとウイルス配布サイトに404リダイレクト)されたりしました。当時は、脆弱性対策のためのアップデートより安定性が重視されていました。(前置きのように私も痛い目に遭いました。) GENOウイルスのように、ID・パスワード漏洩即改ざんというケースもありますが、それ以前から行われていたのは、情報漏れしてPCがリモートコントロール下におかれて事件発生まで数ヶ月という長いスパンだったようで、これは今日も続いています。直接の攻撃ではなく補助と思われる、見えないから気付かれないvisibility:hidden;やdisplay:none;属性のタグを挿入されマルウェア配布の改ざんページが検索エンジンの上位にリストされる(現在はペナルティになるらしい)ように仕込まれたりしてました。 また今日では、脆弱性がMicrosoftやAdobeより犯人側が先に発見し利用するようになり脆弱性パッチが後手に回るようになりました。本日からAdobeReaderのパッチが配布されますが、IE8/7/6の脆弱性は11月のアップデートでもまだ未解決のままです。 http://internet.watch.impress.co.jp/docs/news/20101029_403477.html http://cloud.watch.impress.co.jp/docs/news/20101104_404493.html WEB管理するPCでネットサーフィンしないこともさることながら、SCP使えることですしTCP3389やTCP23をブロックしておくことも必要ではないでしょうか。
その他の回答 (2)
- nnori7142
- ベストアンサー率60% (755/1249)
お尋ねの件ですが、不正アクセス及びセキュリティホール対策が必須となる条件ですが、Webデータベース改変ですが、まず回線に対しUTM等セキュリティゲートウェイ等設置し、不正アクセス対策及びSynflood攻撃やUDP Flood、Connection Flood等の攻撃防御(QOSやVLANを利用した帯域制限もありです)が中心となります。 その他にルーターでのIPパケットフィルタ及びポート破棄・透過設定による制御と、OS自体のセキュリティホール対策が必須となります。UnixOSの場合更にiptables記述による制御と、定期型更新が必要ですが、UnixOSの方のウイルス対策ソフトの適用が中心となります。 ネットワーク環境が解りませんので何とも言えませんが、PC台数やサーバ台数、利用回線数に応じた業務用ルーターでの制御及び上記UTM機器での制御がお勧めです。
- Wr5
- ベストアンサー率53% (2177/4070)
>侵入されるとすれば、どこから侵入されるのでしょうか? 各種セキュリティホール…ですかね。 会社のWebページならば、外部にFTPを開ける必要はないのではないですか? rootでFTP許可…とかいうのは論外ですが。 自分のアカウント(Webページ更新用?)でも社外からFTPする必要がありますか? FTPはパケット盗聴していればアカウント名とパスワードはあっさり取得できます。 # wiresharkでキャプチャしながらFTPログインしてみれば判りますが。 Webページの編集と更新は社内からしか行わない。 というポリシーにすれば、FTPのポートを外部に開ける必要はなくなります。 それでも外部から…というのであれば、FTP over SSLにするかSFTPにするべきでしょう。 # レンタルサーバとかデータセンターにサーバがある。とかいう場合もこちらでしょうかの。 SFTPではコード変換とかされないらしいので、その辺りは注意する必要があるでしょう。 SFTPやる為にSSHを使用する場合でも、標準ポート&パスワード認証は避けるべきです。 # 試しに標準ポートにしたら…3日間で14000近くのアタックが。(アカウント約1700種、攻撃元IP16箇所) # ログ見たら1時間ちょいも繰り返しrootでパスワード認証試行しているモノも。恐るべし中華パワー。 ## ちなみに、公開鍵認証&認証ユーザー限定&非標準ポートで普段は運用。 Windowsでウィルス感染してFTPのアカウントとパスワードが不正使用されたあげく、自分のWebページにウィルスしこまれた。 なんてのもありましたよね…。
お礼
FTPで暗号化されていないパスワードとか、Windowsでウイルスに感染して、なんて論外だと思います。 ファイルの転送は普通はSCPだと思います。 セキュリティホールは常に最新版を使い続けることによって、なんとかなると思うのですが、それでもニュースなどを見ていると、webページに五紅星旗を出されたとかの記事を見て不思議に思って、この質問をしています。
関連するQ&A
- CentOSのWebページをPC名で表示するには?
こんばんわ。 Linuxを勉強しています。 自宅にCentOS7を立ててWebサーバを立ててみたいと思いまして、 見よう見まねでIPアドレス指定で標準のテストページが表示ができるようになりました。 次にこれをLinuxのPC名で ttp://Hogehoge-PC でテストページを表示させたいのですが、どのようにするば名前解決できるのか分かりません。 条件としては ・WebサーバはDHCPでIPアドレスを貰っている。 ・クライアント側でhostsに記述はしたくない。 /etc/httpd/conf/httpd.conf のServerNameに ServerName Hogehoge-PC:80 と書いてもダメでした。 どのようにすればよろしいでしょうか。
- ベストアンサー
- Linux系OS
- ウェブページが表示された瞬間にwwwを付加したい
自宅サーバを構築している初心者です。 CentOS5 httpd2.2 【やりたいこと】 ヤフーのように http://yahoo.co.jpとしてアクセスすると、このアドレスのままページが表示されるのではなく、 ページが表示された瞬間にhttp://www.yahoo.jpと「www」がブラウザに付加したいのです。 これはどういう仕組みなのでしょうか? Apacheウェブサーバの設定?(転送設定関係?) 【外部DNS】 ダイナミックDNS(MyDNS.JP)を利用 ドメイン名:sample001.jp(独自ドメイン) MXレコード:mail ホスト名1:www ホスト名2:mail このように設定していて現状では http://sample001.jp http://mail.sample001.jp http://www.sample001 のどれでアクセスされてもページが表示されます。 この意味は分かります。 自分サーバも http://sample001.jpでアクセスされたら http://www.sample001.jpと「www」を付加するように設定したいのですが外部DNSの設定の問題なのか、Apacheウェブサーバの設定なのか分かりません。 なApacheの設定ファイル(/etc/httpd/conf/httpd.conf)は ServerName www.sample001.jp:80 としています。 よろしくお願いします。
- ベストアンサー
- Linux系OS
- ウェブページ改竄
FreeBSD5.3でApache2.2,最新のOpensslで管理しているウェブサーバがあり,そのサーバ上でウェブサーバを構築していたのですが,この度,ウェブページの改竄の被害に合いました. どういった経路で改竄されたかを調べるために/var/log/ にあるログを見たのですが,思い当たるようなログが残っていませんでした. 考えられる方法としては, 1.ウェブ編集の初心者向けにftpのポートを空けていたので,そちらのパスワードをクラックされた(→ftpdに関するログ) 2.sshが破られてrootのパスワードが盗まれた 等があると思いますが,ftpdのログや,lastlogin,およびhistoryの情報,/var/log/messages の情報等にそれらに該当するようなアクセス等は残っていませんでした. クラック用のツールとして rootkit 等があるようですが,それらで関連するログも全て削除されているのか,どういった経路で改竄が行われたかを調べるための方法が分かりません. サーバ上にはXoopsのページがあり,そちらからのアクセスも怪しいかなとは思ったのですが,Apacheに関するアクセスログやエラーログからもこれといった情報は得られませんでした. 対策としては,パケットフィルタリングを行いアクセスを制限することにし,ssh以外のアクセスを排除することにしたので,大体の不正アクセスは防げると思いますが,今後こういった現象を防ぐための勉強として,改竄の手口,およびこういった場合の進入手口に心当たりがあれば,ご教授よろしくお願いします.
- ベストアンサー
- その他(ITシステム運用・管理)
- CentOS 5.4でwebサーバを構築しようとしています。
CentOS 5.4でwebサーバを構築しようとしています。 apacheを使用しています。 サーバ本体でhttpdを起動→IEのアドレスバーにプライベートIPを入力 と、するときちんとwebページが表示されるのですが 家庭内の別のクライアント(winVista)から同様に IEのアドレスバーにプライベートIPを入力すると表示されません。 「InternetExplorerではこのページは表示できません」となります。 だれかアドバイスをお願いします(ノД`;)
- 締切済み
- その他(インターネット・Webサービス)
- Webページが表示されない場合の調査方法
有識者の方々お世話になります。 また、いつもありがとうございます。 最近サーバーで変な現象が起こっています。 Apache(httpd)のプロセスは動作しているのに Webページにアクセス出来なくなります。 サーバ起動直後はWebページにアクセス可能なのですが、 数日経つとページが表示できなくなります。 原因が全く分かりません。 調査の仕方など、/var/log/httpd/以下のログ以外に サーバ側で調べる必要のある箇所があるようでしたらご教授頂きたいです。 お願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- CentOS5.2 Apacheの設定について
Linuxの勉強のため内部向けにWEBサーバを立ち上げようと思いApacheの設定を致しましたが、クライアントからhtmlファイルを閲覧することができません。設定が間違っているなどの情報をいただければ幸いです。大変申し訳ございませんが、お力添えをよろしくお願いいたします。 【ネットワーク環境】 [ルーター]----[サーバー](192.168.1.13) | ---------[クライアントPC](192.168.1.12) 【サーバ環境】 OS:CentOS5.2 Apacheバージョン:httpd-2.2.3-22.el5.centos.1 【Apacheの設定】 [httpd.confの設定事項] ServerTokens OS ServerRoot "/etc/httpd" PidFile run/httpd.pid Timeout 120 KeepAlive on MaxKeepAliveRequests 500 KeepAliveTimeout 40 Listen 80 Listen 8080 User apache Group apache ServerAdmin root@localhost UseCanonicalName Off DocumentRoot "/var/www/html" AccessFileName .htaccess ErrorLog logs/error_log CustomLog logs/access_log combined ServerSignature Off AddDefaultCharset Off Alias /error/ "/var/www/error/"
- ベストアンサー
- Linux系OS
- CentOS WEB開発 フォルダパーミッション
職場で、Linuxの経験が無いにも関わらず WEBサイトのサーバ移行をしていまして、躓きました。 新サーバはAWSにてCentOS 6.9 Apache 2.2.15 php 5.3.3となっています。 httpd.conf内にて、デフォルトのDocument Rootから 変更し、そのフォルダ以下にhtmlやphpといった必要な ファイルを置いています。 デフォルトのDocument Rootやその近辺(一つ上の階層)では 置いたhtmlやphpをブラウザで表示することができますが 新たにDocument Rootに設定したフォルダだと 403 Forbidden You don't have permission to access /index.html on this server. と表示されたので、該当のフォルダのパーミッションを 755(775や777も試しました)、ファイルのを644に設定し WEBで見ても現象は変わりません。 -rw-r--r--. 1 apache apache 24 Dec 25 01:52 index.html -rw-r--r--. 1 apache apache 3049 May 16 2017 index.php drwxr-sr-x. 9 apache apache 4096 Dec 25 08:13 www(←Document Rootに設定したフォルダ) .htaccessも変更したDocument Rootフォルダに置いてます。 (中身は下記2行ですが) AddHandler x-httpd-php5 .php .phps DirectoryIndex index.php index.html index.htm 他に何か考慮する点はありますでしょうか? 宜しくお願いします。
- ベストアンサー
- PHP
- NIC2枚差し WEBサーバーで2系統のLANどちらからもWEBサーバー内のWEBページを開きたい
こんにちは ちょっとうまくできず悩んでおります。 使用環境ですが、 Linux(Apache1.3)サーバーにNIC2枚差しにして eth0:192.168.1.210 eth1:192.168.2.210 二つのLAN環境のどちらからでもWEBサーバーを動かしたいのですが具体的にどのようにしたらよいのでしょうか。 今まである、質問やネット上の資料をもとに DNSの設定やApacheのhttpd.conf内のServerAlias host1 host2、バーチャルホスト設定でそれぞれのIPアドレスで同じドキュメントルートを指定するなども行いましたが、うまくできません。 今のところ、eth0:192.168.1.210からしか反応しません。 もし、このような環境を作られた方いらっしゃいましたら教えてください。 よろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- webページの表示が遅れる
どういうタイトルにしたらよいか悩んでしまいましたが、 困っている現象としては 私が設置したApacheにおいたWebページのURLを ブラウザで表示しようと URL を入力すると 真っ白になってしばらく表示されず(ブラウザは読み込み中表示) 「読み込みの停止」か「F5」を押すとページがすぐ表示されました。 ブラウザを起動して最初に私のサーバにあるWebページを開くと この現象がほぼ毎回起きます。 他のサーバにあるWebページを開くときはこんなことないので なんとかしたいのですが、何が考えられるのでしょうか。 サーバはレンタルですが占有サーバです。 環境は FreeBSD 8.4 Apache 2.2 宜しくお願い致します。
- 締切済み
- BSD系OS
- apacheのプロセス数が不安定
お世話になります。_chihiro_といいます。 apacheに関する質問です。 Linuxにapacheを入れてWebサーバーとして稼動させています。 コマンドで「pstree | grep httpd」と打ったところ、目安ではありますがhttpdプロセス数を見たところ、返ってくる結果が |-httpd---40*[httpd] |-httpd---36*[httpd] |-httpd---57*[httpd] |-httpd---88*[httpd] |-httpd---77*[httpd] |-httpd---49*[httpd] |-httpd---93*[httpd] といったように安定しません。 以前Webサーバーを管理していたときは、 |-httpd---30*[httpd] |-httpd---30*[httpd] |-httpd---30*[httpd] |-httpd---30*[httpd] と、アクセスが集中していなければ一定の数値が返ってきていたのですが、、、。 これは、Apacheの設定がまずいのか、それとも気にすることではないのか調べたのですが、なかなか答えが見つかりません。 経験上、なにか分かる方おられましたら回答よろしくお願いいたします。 -----------OS情報------------- apache-2.2.4 Redhat 7系(?) メモリ 2G -----------apacheの設定(抜粋)------------- KeepAlive On MaxKeepAliveRequests 100 StartServers 10 MinSpareServers 10 MaxSpareServers 20 ServerLimit 256 MaxClients 256 MaxRequestsPerChild 0
- 締切済み
- Linux系OS
お礼
お礼がたいへん遅れて申し訳ありません。 なるほど、セキュリティーホールの修正が行われるよりも先にハッカーに攻撃されるのではしかたがありませんね。 その種の物は今でもあるのでしょうか? あると分かる前に攻撃されるから恐ろしいのかな?