海外用レンタル携帯電話 グローバルセルラーが、SQL インジェクションにやられて、
エクスコムグローバル社のウェブサーバーから10万件以上の顧客クレジットカード情報が流出という記事が出た。
気になってみていたら、あちこちのFacebookやTwitterなどで話題になっていたが、これはひどいと思った。
まずは、話題になっていた robots.txt から。
これは、ねらってというか、たどってくれと逝っているものではなかろうか。
http://www.xcomglobal.co.jp/robots.txt
Disallow: に記載すると言うことは、そこが存在していると言っているような物。
あるよ!って言いふらしているようなもの。
てことで、中身をみて、
http://www.xcomglobal.co.jp/INSTALL.txtを開いてみると、DrupalというCMSを使って運用されているようだ。
ちなみに、このrobots.txtは、drupalに添付されているrobots.txtそのままでカスタマイズさえされていないように見えます。
まあ、別にいいと思うけど、存在は解ってしまうので、必要に応じて、別の手段などの対策を考えないといけないんじゃないかなぁと思います。
デフォルトのままの状態で運用されているように見えて仕方がないです。
同様に、.htaccessもおそらくそのままでは無かろうかと思われました。
ということで、動けばいいやレベルのプロの仕事とは思えない感じでした。
自宅サーバじゃあるまいし(w
ということで、情報を追いかけてみましょう...
Disallow: /modules/ Disallow: /scripts/ Disallow: /CHANGELOG.txt Disallow: /install.php Disallow: /update.php Disallow: /xmlrpc.php Disallow: /admin/ Disallow: /user/register/ Disallow: /user/password/ Disallow: /user/login/
ということで、アクセスしろと言われたようなので、アクセスしてみると...
- http://www.xcomglobal.co.jp/modules/
- https://xcomglobal.co.jp/user
- http://www.xcomglobal.co.jp/admin/
- http://www.xcomglobal.co.jp/install.php
といったところなどへ。。
( 'д'⊂彡☆))Д´)
( 'д'⊂彡☆))Д´)
( 'д'⊂彡☆))Д´)
( 'д'⊂彡☆))Д´)
いらない物は消すか、明示的にパーミッションを落とすとか、管理用に関わるところなどは、アクセス制限を施すとか。でも、実際のところはそのまま。
ほとんどのファイルは存在しました。管理画面だすということは、デフォルトのID/PASS等が有効か、とか、ブルートフォース攻撃が出来てしまいそうですね。
drupalはデフォルトのID/PASSって有るのかは知りませんが...
さらに、
CHANGELOG.txtがあるようなので、見てみると、Drupal 6.26 を使っているように見えますね。
該当バージョンを見てみると、
XSSとかあるようです。
ただし、プログラム部分だけアップデートしていた場合は、最新の可能性があり、CHANGELOGなど更新されていないという場合ももちろんあると思いますので、実態はそれ以上わかりません(調べていないので)
そのほかでは、Directory Indexes を切っていないとか、色々とサーバの情報を漏らしていたり、SQLインジェクション以前の問題でした。
にしても、drupalのデフォルトの.htaccessをみていたら、Options -Indexes がはいっているのに、なぜ見えるのか。FilesMatch など記載があって、システムに関わるところは、denyになっているので、その辺はデフォルトの設定で最低限守られているというわけですね。
またやらかしそうですね。
おわったー。ひゃっはー!
ということで、
Google先生に尋ねてみたら、
検索ではまだ、ひっかからなかったw
ということで、脆弱性のあるバージョンを使っていると思われるので、だれか、
脆弱性関連情報の届出によろ。確認するのもめんどう、関わるのもめんどう、勢いで日記だけ書いちゃった。
あくまでも、ちんけな個人日記なのでよろしゅう。
★ 追記1:
寝ぼけながら15分ほどで書いたものだったので、少し修正しました..そして、調べてみるとそれ以外にも色々と出てきますね。LAME、axfrあたりはさくっと...探せば他にも色々と出てきそうですし、いい加減につくって、そのまま放置しちゃったのでは、という感じが漂っています。。
★ 追記2:
WWW WATCH:それは robots.txt の問題じゃなくて...のページに、私が言いたいことをすらすらときれいに書いてくださっています。素敵。
★ 追記3:
2013/5/29 朝の段階で、日記に書いていた install.php や CHANGELOG.txt、modules/直下のみのDirectoryIndexが閲覧出来なくなっていました。
しかしだな、日記には書いていなかった部分
や、modules配下そのもののDirectoryIndexesは有効になったままであり、その配下である
といった物など、放置されています。
明らかに指摘されたところだけ、ファイルを消したり、空のファイルをおいて見えなくしたりしている、腐った対応のようで、根本的に対応を行おうという姿勢は一切見えないです。何もしらない担当者が、かかれているから、かかれている部分のみ対応したという感じ。あからさまにお粗末過ぎます。同様に、robots.txtについても賛否両論だと思いますが、これもファイルを削除していて、かえってGoogleさんとかに補足されやすくなり、楽しいことになるのではないでしょうか。クレジットカードの情報を扱う会社の対応とはとうてい思えません。