ほほほのほ - tweet:2013

テスト

anonymous@undisclosed.example.com (Anonymous) — Wed, 27 Mar 2013 16:00:00 +0000

テスト

いやテストも何もないけど、一応投稿のテストを

気になった記事(20130328)

anonymous@undisclosed.example.com (Anonymous) — Wed, 27 Mar 2013 17:00:00 +0000

気になった記事(20130328)

テストも兼ねて古い記事から抜きだし。

「Herokuにだまされた」――新興企業の指摘にHerokuが謝罪
Herokuがレイテンシ問題について詳細説明
- ふーむ。ちょっと古いけど、仕様変更には気をつけないと行けないですね。特にCloudでは見えないところで色々変更可能だから。
できる ssh
- 人にsshの使い方を教えるのは面倒なので、ここを見ろと(笑)
フィーチャーフォン向けの Web ページで A レコードを切り替えたときの挙動
- ふーん、こういう動きかたするのか。自分でも試さないといけないんだけどなぁ。時間が無い。
ロールベースのアクセス制御が加わった「PacketFence 3.3」がリリース
- NACかぁ。これはどこかで考えないといけないんだけど…
最強のIT系かあちゃんからたかしへのアドバイス
- まぁ、時々見返すとおもしろい。忘れていることが出てくるからなぁ。
Japanese for Programmers
- 確かにこういうリストは時々役に立つことがある(笑)
Heroku上のRails 3アプリをRails 4に移行する際に工夫した点
- Major version up対応は本当に難しい。

OS-X and NTFS

anonymous@undisclosed.example.com (Anonymous) — Sun, 31 Mar 2013 16:00:00 +0000

OS-X and NTFS

OS-XでNTFSを読み書きできないといけない状況になったので。

FUSE for OS Xをmacfuse互換にチェックを入れてInstallする
- macfuseは2008年で開発が止まったので。
NTFS-3g for MacOS-XをInstallする
- 但し、Tuxera NTFS for Macは有償版(15日間のお試し期間あり)なので、注意。

これで終わり。

DNS Checker

anonymous@undisclosed.example.com (Anonymous) — Mon, 01 Apr 2013 16:00:00 +0000

DNS Checker

あまりにも便利すぎたので。

DNSInspect

これでDomainを一通りチェックしてたら、意外と気付かないミスまで出力してくれた。便利便利。

でも、おかげで午前中を潰してしまったのは秘密。

おまけ Open DNS Resolver Project The Measurement Factory

From Twitter

anonymous@undisclosed.example.com (Anonymous) — Wed, 03 Apr 2013 16:00:00 +0000

From Twitter

MacでPDFのコピペをすると、濁点が分かれてしまう件。クリップボードをいじるコマンドを使って、
```
 pbpaste | iconv -c -f UTF-8-MAC -t UTF-8|pbcopy 
```
とすれば(クリップボード内で)解決することがわかった。要は、iconvでUTF-8-MacをUTF-8に変換すればいいんだ。
iotop -o -aってなに？おいしいの？ああ、おいしそうだ。
自分で作ったApacheモジュールで使えそうなモジュールまとめ参考に。

Vagrant で自分の PC に「作って、壊して、元に戻せる」サーバを作る
- Rubyなのかぁ。
Chefに挫折したあなたへ。Fabricのすすめ
- Pythonなのかぁ。

自分の生活環境としての手元マシンやリモートホストなら、まぁ、毎日触るし必要そうなものを何を入れてもいいんだけど、サーバー類となると、LLですら最小限に留めたいわけで。ところが、今時はPerl/PHP/Ruby/Python/Lua辺りを「選んで」入れないといけなくて、やっぱりちょっと面倒。特に、Version UpとかPatch Updateを考えると、色んなものが入っている状況は、動作確認まで考えると堪らない。

しかし、自分で全部作るだけの余裕があるわけでも無いのでやっぱりちょっと困る。どうしたものやら。

ちょいとメモ

anonymous@undisclosed.example.com (Anonymous) — Wed, 01 May 2013 16:00:00 +0000

ちょいとメモ

あとでまとめなおす。

NetBSD-current@20130502

Routerを作成する前提での設定。

Install時には、Test系、X系、Sourceを除いて全部入れる。

とにかく最初に設定すること

fstabから cdrom の記述を消す
- /dev/cd0a /cdrom cd9660 ro,noauto
groupを修正し、vipwでaccount追加

newsyslog.confを修正

全てのlogを24時間単位で確保。バックアップを別途確保。

/var/log/authlog                        600  7    *    24   Z
/var/log/console        root:wheel      600  7    *    24   Z
/var/log/cron           root:wheel      600  7    *    24   Z
/var/log/kerberos.log                   640  7    *    24   ZN
/var/log/lpd-errs                       640  7    *    24   Z
/var/log/maillog                        600  7    *    24   Z
/var/log/messages                       644  7    *    24   Z
/var/log/wtmp           root:utmp       664  7    *    24   ZBN
/var/log/wtmpx          root:utmp       664  7    *    24   ZBN
/var/log/xferlog                        640  7    *    24   Z

ntp.confを修正

Serverを定義する。

server		0.netbsd.pool.ntp.org
server		1.netbsd.pool.ntp.org
server		2.netbsd.pool.ntp.org
server		3.netbsd.pool.ntp.org

server		time.asia.apple.com
server		ntp.jst.mfeed.ad.jp
server		0.jp.pool.ntp.org
server		1.jp.pool.ntp.org
server		2.jp.pool.ntp.org
server		3.jp.pool.ntp.org

ssh/sshd_configの書き換え
- Port → どこかのHi-Portに変える
- PermitRootLogin が no であることを確認
- PasswordAuthentication を noにする
syslog.conf
- 最終的にはsyslogは監視サーバーに飛ばす。
- 以下のEntryを追加。これは、Consoleに出力されたlogを記録するためのもの。
- ```
*.err;kern.*;auth.notice;authpriv.none;mail.crit        /var/log/console
```
- このあと、/var/log/consoleをtouchする

Host固有の設定をする

/etc/rc.confを修正する

rc_configured=YES
wscons=YES

hostname=foo.example.org
defaultroute="192.0.2.6"

# ----- Local configuration -----
sshd=YES		sshd_flags=""
ssh_keygen_flags=""
ntpd=YES		ntpd_flags=""		# see below for ntpd_chrootdir
ntpd_chrootdir="/var/chroot/ntpd"
ntpdate=YES  		ntpdate_flags="-b -s"	# May need '-u' thru firewall

accounting=YES					# uses /var/account/acct
newsyslog=NO		newsyslog_flags=""	# trim log files
quota=NO					# check and enable quotas

pf=NO			pf_rules="/etc/pf.conf" pf_flags=""
pflogd=NO
ppp=NO			ppp_peers=""		# /etc/ppp/peers to call
ifwatchd=NO	# execute up/down scripts for in-kernel PPPoE interfaces
	ifwatchd_flags="-u /etc/ppp/ip-up -d /etc/ppp/ip-down pppoe0"
altqd=NO		altqd_flags=""
inetd=NO		inetd_flags="-l"	# -l logs libwrap

dhcpd=NO		dhcpd_flags="-q"
rtadvd=NO		rtadvd_flags=""

powerd=YES		powerd_flags=""		# power management daemon

で、touch /var/account/acctを実行
/etc/ifcfg_xxx を作成し、そこにInterface設定を書く
- 追加オプションに関しては、ifconfig <devicename> して capabilities を参照。その後、manすること
- ```
# cat ifconfig.re0
up
media autoselect
inet 192.0.2.1/29
inet6 2001:0DB8::1/64
tso4 ip4csum tcp4csum udp4csum
# cat ifconfig.re1
up
# cat ifconfig.vlan1
create
up
vlan 2 vlanif re1
inet 192.0.2.9/29
#
```
- なお、仮想システム上でFV(HVM)で動かす時にはtso4,tso6(TCP Segmentation Offload)などのHardware Assistedな機能をOffにしておいた方が良いだろう。ifconfigでdeviceのCapabilityを見ればどの機能が使えるか(及び生きているか)が判る。

個人のhome dirに.sshを作成し、authorized_keysを設置。
- rootになれることを確認したら、/etc/ssh/sshd_configでPasswordAuthenticationをnoにする

あとで調べる
- powerd関連
- kyua : 要はatf(automatic testing framework)のreplace.
- rc.conf.d : 要は、/etc/rc.d内に設置されているscriptの置き換え。
  - <code>

$NetBSD: MESSAGE.NetBSD,v 1.3 2007/07/11 12:25:53 martti Exp $

If you are running NetBSD 1.5 (or newer), the existing /etc/rc.d/postfix can be forced to start /usr/pkg/sbin/postfix instead of /usr/sbin/postfix, by adding the following lines to /etc/rc.conf.d/postfix:

postfix_command='/usr/pkg/sbin/postfix'

       required_files='/usr/pkg/etc/postfix/main.cf'
       start_cmd='/usr/pkg/sbin/postfix start'
       stop_cmd='/usr/pkg/sbin/postfix stop'
       reload_cmd='/usr/pkg/sbin/postfix reload'

Please note that /etc/rc.conf.d/postfix does not exist by default so you need to create that file if you need to override the default settings.

</ccode>

こんな感じでファイルを作ることで、scriptを色々上書きできる。

細かい設定

最小限の設定をして再起動したら、以下を実施。

起動時の設定が正しく動いているかを確認
- sshで正しく接続できることを確認
  - これで、作成したaccountとsshdが望み通りに動いているか確認できる
- ntpqで時刻同期状態を確認

とにかく、まず、CurrentとpkgsrcのSourceを持ってくる。
- これをしないと、Kernelをre-compile出来ない。
  - 今回は、マシンパワーが余っているので、ついでに CurrentをCompileするマシンにしておくつもり。
  - cvs -d :pserver:anoncvs@anoncvs.netbsd.org/cvsroot login
  - cvs -d :pserver:anoncvs@anoncvs.netbsd.org/cvsroot co src pkgsrc

sshdにpatchを当てる。

これによって、sshdに対してroot loginを試みたIP Addressは/var/db/sshd.blacklistに記録され、以後そのアドレスからのsshdへのアクセスを無条件に切断する。
このpatchの大元はtsubaiさんが作成されたものです。感謝。
- tsubaiさんのpatchは2000年頃いただいたものですが、現在ではそのままでは利用できないため、不恰好な修正をしました。修正部分のコードが汚いのはあくまで筆者のせいであり、tsubaiさんのせいではありません。

src/crypto/external/bsd/opensshにdistディレクトリがあるので、そこに移動

$ diff -c dist.org/ dist
diff -c dist.org/auth.c dist/auth.c
*** dist.org/auth.c	Sat Mar 30 01:19:44 2013
--- dist/auth.c	Mon May  6 01:35:59 2013
***************
*** 39,44 ****
--- 39,46 ----
  #include <stdarg.h>
  #include <stdio.h>
  #include <string.h>
+ #include <util.h>
+ #include <fcntl.h>
  #include <unistd.h>
 
  #include "xmalloc.h"
***************
*** 602,607 ****
--- 604,638 ----
  	    "authorized principals");
  }
 
+ static void remember_addr(void);
+ 
+ void
+ remember_addr(void)
+ {
+ 	int fd;
+ 	struct iovec iov[2];
+ 	const char *remote_ip;
+ 	char *black_addr;
+ 	size_t addrlen;
+ 	char terminate[] = "\n";
+ 
+ 	fd = open("/var/db/sshd.blacklist", O_APPEND|O_WRONLY);
+ 	if (fd == -1)
+ 		return;
+ 
+ 	remote_ip = get_remote_ipaddr();
+ 	addrlen = strlen(remote_ip);
+ 	black_addr = malloc(addrlen);
+ 	strncpy(black_addr, remote_ip, addrlen);
+ 	iov[0].iov_base = (void *)black_addr;
+ 	iov[0].iov_len = addrlen;
+ 	iov[1].iov_base = terminate;
+ 	iov[1].iov_len = 1;
+ 
+ 	writev(fd, iov, 2);
+ 	close(fd);
+ }
+ 
  struct passwd *
  getpwnamallow(const char *user)
  {
***************
*** 618,624 ****
--- 649,658 ----
  	parse_server_match_config(&options, ci);
 
  	pw = getpwnam(user);
+ 	if (strcmp(user, "root") == 0)
+ 		pw = NULL;
  	if (pw == NULL) {
+ 		remember_addr();
  		logit("Invalid user %.100s from %.100s",
  		    user, get_remote_ipaddr());
  		return (NULL);
diff -c dist.org/sshd.c dist/sshd.c
*** dist.org/sshd.c	Sat Mar 30 01:19:45 2013
--- dist/sshd.c	Sun May  5 23:10:31 2013
***************
*** 255,260 ****
--- 255,262 ----
  static void do_ssh1_kex(void);
  static void do_ssh2_kex(void);
 
+ static int check_blacklist(void *);
+ 
  /*
   * Close all listening sockets
   */
***************
*** 1191,1196 ****
--- 1193,1202 ----
  					usleep(100 * 1000);
  				continue;
  			}
+ 			if (check_blacklist(&from)) {
+ 				close(*newsock);
+ 				continue;
+ 			}
  			if (unset_nonblock(*newsock) == -1) {
  				close(*newsock);
  				continue;
***************
*** 2053,2058 ****
--- 2059,2095 ----
  	exit(0);
  }
 
+ int
+ check_blacklist(s)
+ 	void *s;
+ {
+ 	FILE *fp;
+ 	struct sockaddr *sa = s;
+ 	char a[64], b[64], *p;
+ 
+ 	if (getnameinfo(sa, sa->sa_len, a, sizeof a, NULL, 0, NI_NUMERICHOST))
+ 		return 0;
+ 
+ 	fp = fopen("/var/db/sshd.blacklist", "r");
+ 	if (fp == NULL)
+ 		return 0;
+ 
+ 	while (fgets(b, sizeof b, fp)) {
+ 		p = strchr(b, '\n');
+ 		if (p == NULL)
+ 			continue;
+ 		*p = 0;
+ 		if (strcmp(a, b) == 0) {
+ 			fclose(fp);
+ 			logit("Blacklist %s", a);
+ 			return 1;
+ 		}
+ 	}
+ 
+ 	fclose(fp);
+ 	return 0;
+ }
+ 
  /*
   * Decrypt session_key_int using our private server key and private host key
   * (key with larger modulus first).
$

sshdを作成
1. cvsでdownloadしたsrcの下に移動
2. sh ./build.sh toolsを実行
3. cd src/lib/libcrypt
4. make
5. cd src/crypto/external/bsd/openssl
6. make
7. cd src/lib/libz
8. make
9. cd src/crypto/external/bsd/openssh
10. make
11. su root -c “mv bin/sshd/sshd /usr/sbin/sshd”
12. su root -c “chown root:wheel /usr/sbin/sshd”
13. su root -c “chmod 555 /usr/sbin/sshd”
14. su root -c “/etc/init.d/sshd restart”
15. 動作確認
  - rootでloginしてみて、sshd.blaacklistにaddressが載ることを確認
  - 2回目のアクセスでは、login Promptも出ずに切れたらOK
  - sshd.blacklistをクリアし、sshdを再起動する
16. cd src/crypto/external/bsd/openssh ; make distclean
17. cd src/lib/libz ; make distclean
18. cd src/crypto/external/bsd/openssl ; make distclean
19. cd src/lib/libcrypt ; make distclean
NetBSD Kernel作成
- Kernel configuration
- sh build.sh kernel=ROUTER
- mv sys/arch/amd64/compile/obj/ROUTER/netbsd /

pf configuration

anonymous@undisclosed.example.com (Anonymous) — Sun, 26 May 2013 16:00:00 +0000

pf configuration

作成中のメモ。

あとでまとめる。

RFC

See RFC6890

IPv4 Addresses	F	G	RFC	Desc
0.0.0.0/8	x	x	1122	This host on this network
100.64.0.0/10	o	x	6598	Shared Address Space
127.0.0.0/8	x	x	1122	Loopback
169.254.0.0/16	x	x	3927	Linklocal Address
192.0.0.0/24	x	x	6890	IETF Protocol Assignments
192.0.0.0/29	o	x	6333	DS-Lite
192.0.2.0/24	x	x	5737	Documentation
198.18.0.0/15	o	x	2544	Benchmarking Methodology for Network Interconnect Devices
198.51.100.0/24	x	x	5737	Documentation
203.0.113.0/24	x	x	5737	Documentation
192.88.99.0/24	o	o	3068	6to4 Relay Anycast
10.0.0.0/8	o	x	1918	v4 Private Address
172.16.0.0/12	o	x	1918	v4 Private Address
192.168.0.0/16	o	x	1918	v4 Private Address
224.0.0.0/4	x	x	1122	Multicast / Class D
240.0.0.0/4	x	x	1122	Reserved for future use / Class E

IPv6 Addresses	R	G	RFC	Desc
::/128	x	x	4291	Unspecified
::1/128	x	x	4291	Loopback
::/96	x	x	4291	IPv4 Compatible Address	Obsolate
0:0:0:0:0:ffff::/96	x	x	4291	IPv4 Mapped Address
0064:ff9b::/96	o	o	6052	IPv4-IPv6 Translation
0100::/64	o	x	6666	Discard-Only Address Block
2000::/3	o	o	3587	Global Unicast Address
3ffe::/16	x	x	3587	6Bone test Address	Obsolate
2001::/23	x	x	2928	IETF Protocol Assignments
2001::/32	o	x	4380	Teredo
2001:0002::/48	o	x	5180	Benchmarking Methodology for Network Interconnect Devices
2001:0010::/28	x	x	4843	Overlay Routable Cryptographic Hash Identifiers
2001:0db8::/32	x	x	3849	Use for document
2002::/16	o	-	3056	6 to 4
fc00::/8	o	x	4193	Unique Local unicast Address(Centralized control)
fd00::/8	o	x	4193	Unique Local unicast Address(Local Use)
fec0::/10	o	x	4291	Sitelocal Address	Obsolate
fe80::/10	x	x	4291	Multicast Address
ff00::/8	x	x	4291	Linklocal Address

※ F: forwardable ※ G: Global Routable

気になった記事(20130619)

anonymous@undisclosed.example.com (Anonymous) — Tue, 18 Jun 2013 16:00:00 +0000

気になった記事(20130619)

DELLのサーバでCentOS6でLVS+keepalivedなロードバランサを構築したらハマったりした話
- エグい…
HHKB Type-S
- お、欲しい。

MacOS-X用tftp Server

anonymous@undisclosed.example.com (Anonymous) — Tue, 16 Jul 2013 16:00:00 +0000

MacOS-X用tftp Server

MacOS-XはFreeBSDベースのUNIX系システムなので、OSにちゃんと最初からtftp関連のシステムは入っている。

入っているのだが、tftpは普段使わないわりにSecurity Holeになりやすいので、管理を簡単にして普段は使わないように(要はLISTENしないように)しておきたい。

というわけで、アプリケーションに頼る人のための、OS-X用tftp server GUI Application.

(前置きが長い…)

http://ww2.unime.it/flr/tftpserver/

CantOS6のcron

anonymous@undisclosed.example.com (Anonymous) — Wed, 17 Jul 2013 16:00:00 +0000

CantOS6のcron

後でまとめるためのメモ。

http://www.rep1.co.jp/staff/200vcxg/217rav/crontab_lcd_-linux_command_dic.htm ←こっちは常識
http://luna2-linux.blogspot.jp/2013/01/centos6-crondaily-centos5.html ←こっちは知らなかった。

ある意味凄く迷惑。

ついでにCentOS6のNFS

http://www.oss-d.net/nfs/1.2

XenServer 6.2

anonymous@undisclosed.example.com (Anonymous) — Thu, 18 Jul 2013 16:00:00 +0000

XenServer 6.2

メモメモ

http://support.citrix.com/article/CTX127395 Hang up Because C status. Set “OFF”

opensshとsftponly

anonymous@undisclosed.example.com (Anonymous) — Sun, 28 Jul 2013 16:00:00 +0000

opensshとsftponly

というわけで、メモ

http://d.hatena.ne.jp/cakephper/20120918/1347935609 http://f99aq.hateblo.jp/entry/20090802/1249222491

要するに、/etc/ssh/sshd_configを修正し、対象Dirをroot:wheelにすること。

ちなみに、sshd_configに ForceCommand internal-sftp を追加しないと、passwdに記載されているshellを実行しようとするので注意。

WordPress乗っ取りについて考えてみた

anonymous@undisclosed.example.com (Anonymous) — Mon, 14 May 2018 04:42:21 +0000

WordPress乗っ取りについて考えてみた

世間で姦しいので、WordPress乗っ取りに関して考えてみた。

17:15 追記: どうやら、世間で姦しい方の乗っ取りに関しては、末尾の備考に追記した方が本命でこの推測は予測しすぎという結論に落ち着きそうです。

あくまでも、個人的に考えただけなので、どこかで発生している何かがこんな流れであるということではありません。

以下の内容は、端から見た「どこかの事案」を元にした(勝手な)推測である。
以下の内容は、「仮に似たような事案があったとしても、あくまでも」、特定の誰かを対象としたものではない。

という前提で読んでください。

こんな世知辛いことを書かなきゃいけない今のInternetってどうなのよ？という話は、いつかまた、機会があれば。

前提

どこか(以下 A社)のサービスとして、共有サーバーを用いたレンタルサーバーサービスを提供している
このサーバーサービスでは、Blog設置サービスとしてWordPress(以下WP)やMovableType(以下MT)、メール関係のサービス等が提供されている
- 標準ではDBを利用するのはWPのみ
このサービスのレンタルサーバーは「共有サーバー」であり、複数の様々な利用者を収容している
DataBaseを提供するサービスも提供しており、MySQLをユーザー単位で提供している

前提知識

WordPressは、PHPとMySQLを利用して動作するシステムである
WordPressで管理される情報は(一部の実体としてのファイル)を除き、全てMySQL内に記録される
- つまり、DB内には、過去の投稿などの記録だけで無く、管理者アカウント情報等も含まれている
WordPressは、(通常) 1サイト毎に 1DB を使用する
DBへの接続には、MySQLの認証ロジックを利用しており、Username/Passwordが必要
WordPressは上記認証情報を wp-config.php に登録している
- この情報は、PHPがMySQLdとセッションを張るために必要な情報であり、暗号化などはされていない
一般にWeb ServerはApache等のWeb Server Application(以下httpd)がそのサービスを提供する
通常、httpdはシステムに脆弱性を作らないようにするため、(一般には)制限された権限で動作する
この制限された権限でもWordPressが動作するようにWordPressの本体(PHPスクリプトファイル群)は、注意深く権限設定されていなければならない

前提知識から明らかな結論

WordPressサイトへの攻撃は、wp-config.phpを入手できればOK
WordPressサイトへの攻撃は、WordPressのDataが記録されているDB(MySQL)に対象サイトのUsername/Passwordでlogin出来ればOK
もし、WordPressのDataが記録されているDBのrootパスワードを取得できれば、WordPress以外の全データが奪れるので、なおBetter
A社のサービスモデルならば、DBサーバーも複数存在する可能性が高く、もし全てのDBサーバーのrootパスワードが一緒なら、一気に美味しい

考えたケース

A社のWPサービスを利用している大多数のユーザー(5000以上)のサイトが書換えられた
A社でwp-config.phpのpermission等を再度設定しなおしたが、その後も書換えられるという報告が(少なくとも数件)上がっている
WordPressのVersionは関係ない(最新版でも古いものでも同じように発生している)

推測

以下、個人的な推測です。こうだったという証拠はありません

被害が多数にわたっていることから、個別にwp-config.phpが漏れたとは考えにくい
- 根拠
  - このwp-config.phpが漏れるためには、wp-config.phpに何らかの方法でアクセスできる必要がある。
    1. WordPressからwp-config.phpにアクセスする方はないと思われる(あるのかもしれないが私は知りません)。
    2. WordPress以外のWebサービス経由か、(ftpやssh等で)loginした上で持っていくか、サーバー自体を乗っとられるか位しか、取得する方策はなさそう。(あるのかもしれないが、私は知りません)
    3. Browserやwget/curl等で取得する方策は、httpd側でphp処理を実行して結果を返すだけになると考えられるのでダメ。
    4. WordPress本体、もしくはPHPのBUGの可能性は捨て切れないが、非常に低いと思われる。
  - 従って、これだけの数(5000以上)のwp-config.phpを「個別に」取得したと言うのは考えにくい。
  - あり得るとしたらサーバー丸ごと乗っとられて、一気に全部のwp-config.phpを持っていくというシナリオだろう。
- 注意：
  - 上記シナリオは、そもそもサーバーが正しく護られているという前提にたっている。
  - 以下のシナリオが成立する場合は、前提がひっくり返るので注意
    1. ftp等で/etc/passwd (shadowやmaster.passwdではない)を持っていくことが可能で、利用者のアカウントが全て取得でき、利用者のwp-config.phpが持っていかれる場合
    2. ApacheでDirectory listingが可能であって、その手法でwp-config.phpが持っていかれる場合
    3. その他、User permissionがボロボロで何でも出来てしまう設定だった場合
Webサーバーが乗っとられたのか？というと微妙
- 根拠
  - もしサーバーが乗っとられたのであれば、WordPress以外のサービスでも書換えなどの攻撃を喰らったのではないかと考えられる。
    1. Blog系は、WPかMTが供給されており、それなりに利用者がいると考えられる。
    2. その他、Mail等も提供されていることを考えれば、WPだけというのは考えにくい
  - また、一般にこの種のサービスは、利用者にDisk容量を供給するが、一人当たり10Gとか20GとかのDiskを供給することが多い。
  - その場合、1台のサーバーに5000以上のユーザーを収容するか？というとそういう可能性は低い。
    - 通常は多くても500〜1000ユーザー程度しか収容しないと思われる。(それでも多い気はしますが)
  - 以上から、被害は恐らくサーバー５台分以上に相当する。
    - それ以上のサーバーがあると考えられるので、その内のWPユーザーがいるものだけを乗っ取ったと言うのは考えにくい。
    - あり得るシナリオは、1台乗っ取ったか、全部乗っ取っただと思うが、被害範囲から後者。
    - やはりWPだけが被害を受けていると言うのは考えにくい。
- 注意
  1. そもそも攻撃者の意図がA社のWPをいじめることにあるなら、WP以外に目をくれない可能性はある
  2. WPを提供しているサーバーとそうでないサーバーが分離している可能性は否定できない
    - 但し、これはサービス毎に収容サーバーを変えることになるため、やはり考えにくい
      - 契約後サーバー立ち上げまでに利用する全サービスが決り、途中追加はないを仮定せざるを得ない
DBが乗っとられたという可能性が高い
- 上記から、書換え自体はDBに直接行われた可能性が一番疑われる
- 根拠
  1. 書換えを行った全てのページに対し、管理コンソールから書換えを指示する手法では時間がかかること
  2. 上記手法をscript化出来るなら、DBに対して発行する命令を分析してSQL文にすることは容易であること
  3. 書き換えた場所にもよるが、多くの場合でサイトのタイトルやキャッチフレーズなど、WPに標準で設定する部分が書き換えられていると思われること
- 注意
  - WebサーバーからmysqlコマンドでDBへのSQL命令を発行する手法が取れる場合、そのWebサーバーにlogin出来ていることを(ほぼ)意味する
    - その場合は実質2のサーバーを乗っとられてるシナリオとかなり近い状況になる。
      - そもそもこの種のサービスでユーザーへのloginを許可する設定になっている可能性は低いと考えられる。
    - 何らかの踏台等を経由して、DBに直接アクセスできる状況を作り、そこからMySQLのroot権限を乗っ取り、一気にDBを書き換えたという可能性が高い
- 問題点
  - そもそもDBにアクセスできる踏台があるのか？

WordPressが大雑把に１サイト(一人？）あたりどの程度のData容量を食うのか？を類推してみる。

Case-1: １投稿の「平均的な文字数」を2000文字とし、全てが持続ブロガー(1記事/1日程度)と考えた場合
- 2000(文字) * 2(1文字2バイト) * 365(日) * 1.2(DBに登録される情報の係数) < 2MBytes/年 ←[1]
Case-2: 週１ブロガーの１投稿の「平均的な文字数」を1500文字とし、持続ブロガーが1%、残りを週１ブロガーと考えた場合
- ( [1] * 1% ) + ( 1500(文字) * 2(1文字2バイト) * 52(週) * 1.2(DBに登録される情報の係数) ) * 99% < 300KBytes/年

参考

http://glink.jp/files/BlogSustainability060615.swf (Flashなのでちょっと…)
- 恐らく2006年頃の調査と思われる
http://blog.goo.ne.jp/trapeza/e/6b60ce0d626aa902be3914fdaa526380
- 2009年頃のエントリー。収集方法がgooに偏っているが、上記とかなり出ている数値が近い

以上より、

Case-1で１万ブロガーいるとすると、2MBytes * 10000 = 20GBytes/年
Case-2で１万ブロガーいるとすると、300KBytes * 10000 = 3GBytes/年

Case-1,Case-2のいずれにしても5000ブロガー毎に1台程度MySQL Serverを準備すれば良いと予想できる。

考え得るシナリオ

内部犯
- 今回の場合、被害がWPに限定されていることを考えると、内部犯は考えにくい。が多少の可能性は残っている
- 内部犯であるなら、技術問題は恐らく関係ないので、シナリオを割愛する
外部犯
- そうはいってもWeb Serverから攻撃した場合
  1. A社のWPサービスを買う
  2. DBのアドレスなどを取得する
  3. wp-config.phpを収集する
  4. mysqldに対して認証情報などを使って直接SQL文を突っ込む
- 何らかのDBへの踏台を見つけた場合
  1. 踏台からMySQLdに対してPassword Crackをかける
  2. MySQLdのroot権限を奪取
  3. 個別の認証情報など使わずに、一気に全員書き換える
- MySQLがInternetからDirectにアクセスできてしまっている場合
  1. どこからかMySQLdに対してPassword Crackをかける
  2. MySQLdのroot権限を奪取
  3. 個別の認証情報など使わずに、一気に全員書き換える
  - このシナリオの場合には、wp-config.phpで集めた認証情報を使う手も利用できるので、かなりカオスです。

結論

以上の考察が正しいとするなら、このような問題が発生した場合、恐らくWordPressの脆弱性とかを疑うよりもサービス及び運用を疑う方が正しいと考えられます。

これは、今回の事案例が「多数の利用者」が「一気に」コンテンツを書換えられたという事例だからで、通常は運用しているWordPressの脆弱性や外部からの攻撃であることが多いでしょう。

備考

ちなみに、世の中にDBが直接公開されている事例と言うのはこんなのがやはりあるんですね。怖いですね。

あと、某所の事例では、こんな原因の推測もある模様です。

更に追記。こんな情報を見つけました。事実なら、こんな難しい事しなくても行けたということで、衝撃です。つか、さすがにこれが原因なら酷すぎる。元の設定が…

某の件まとめ

anonymous@undisclosed.example.com (Anonymous) — Sun, 01 Sep 2013 16:00:00 +0000

某の件まとめ

某ロ＊プの件、一区切りついた。これ以上特に調べる必要はなさそう。

ポイントは

ApacheでFollowSymLinkを.htaccessでOverrideさせない
- 定番の徳丸さんの記事 http://blog.tokumaru.org/2013/09/symlink-attack.html やっぱりよくまとまっているよなぁ。
PHPでchrootさせること
- これは決定打の記事がない…
  - これ http://tt4cs.blogspot.jp/2013/01/chroot-for-php-fpm.html とか

まぁ、要するに、

「マルチユーザー」環境で「共用サービス」を提供する場合には「注意すべきこと」がやはり沢山ある
今時、共有環境なんて使っていない人たちが多いので既に「忘れ去られている」知識が増えている

ということでしょうね。

結論としては、Apache+suExec+Chrootかなぁ。Apacheの設定を「もう一度点検せよ」かな。

追記 (2013/09/02 13:10)

WordPress利用者はしばしばPermalink設定のために「rewrite」を利用するが、このrewriteを使うにはFollowSymLinkが生きていないといけない模様。（ダメぢゃん）

で、回避策はと探してみたら、Apache本家の Apacheコア機能の中に、

SymLinksIfOwnerMatch
シンボリック先のファイルまたはディレクトリが、 シンボリックリンクの所有ユーザ ID と同じ場合にのみシンボリックリンクを たどれるようにします。
注

<Location> 内にこのオプションを 指定しても無視されます。
このオプションはセキュリティの強化にはなりません。 なぜなら symlink の検査はレースコンディションを引き起こす可能性があり、 そのため回避可能になるからです。

を発見。って、Securityの強化にならないとな。これもダメか？というか、なんでURL rewriteでSymlinkが必要なんだよ？

追記 (2013/09/02 13:20)

で、WordPress側を調べてみた結果、以下が判明

WordPresssでrewriteに対応するために設定しているhttpd.confの以下の部分を変更する

##### WPのサイトに記載されている標準
       <IfModule mod_rewrite.c>
           RewriteEngine On
           RewriteBase /
           RewriteCond %{REQUEST_FILENAME} !-f
           RewriteCond %{REQUEST_FILENAME} !-d
           RewriteRule . /index.php [L]
       </IfModule>
##### 修正後
       <IfModule mod_rewrite.c>
           RewriteCond $1 ^(index\.php)?$ [OR]
           RewriteCond $1 \.(gif|jpg|ico|css|js)$ [NC,OR]
           RewriteCond %{REQUEST_FILENAME} -f [OR]
           RewriteCond %{REQUEST_FILENAME} -d
           RewriteRule ^(.*)$ - [S=1]
           RewriteRule . /index.php [L]
       </IfModule>

これで、FollowSymlinkもSymLinksIfOwnerMatchもOffにして、rewrite出来るようになった。

というわけで、Symlink問題は

        AllowOverride None
        Options ExecCGI
       <IfModule mod_rewrite.c>
           RewriteCond $1 ^(index\.php)?$ [OR]
           RewriteCond $1 \.(gif|jpg|ico|css|js)$ [NC,OR]
           RewriteCond %{REQUEST_FILENAME} -f [OR]
           RewriteCond %{REQUEST_FILENAME} -d
           RewriteRule ^(.*)$ - [S=1]
           RewriteRule . /index.php [L]
       </IfModule>

でイケることが判明。よし、まず一歩目をクリア

気になった記事(20130902)

anonymous@undisclosed.example.com (Anonymous) — Sun, 01 Sep 2013 17:00:00 +0000

気になった記事(20130902)

ちょっと気になった記事を。

OpenSource(GPL2)ERP(実質は会計ソフト) RUCARD
http://it.slashdot.jp/story/13/08/21/0532257/ミシガン大学、45分でインターネット全体をスキャンできるツール「ZMAP」を公開
http://d.hatena.ne.jp/Sikushima/20130901/1378021345 面白い記事。
- え？noSQL APIも無料でしょ？なんで有料だなんて…
- 艦コレは恐らくJoinは使っているはず。遅い理由は全然別だと思う。というか、サーバーが少ないだけじゃないの？
- 結論の「実に単純なこと」ってのはどうよ？w
http://www.downtown.jp/~soukaku/archives/2013/0831_001438.html
- http://www.fail2ban.org/wiki/index.php/Main_Page

CentOS 5.10の準備

anonymous@undisclosed.example.com (Anonymous) — Mon, 14 Oct 2013 16:00:00 +0000

CentOS 5.10の準備

某redhat Inc.は、RHE 5.10をReleaseするに際して、MySQLを5.5に上げる決断をした。これは、今までのRHEのPatchポリシーを考えるとかなり大掛かりな変更であって、対応する作業がかなり大掛かりになる。

ここで、取り敢えず、CentOS 5.9 において、PHP5.1を利用しつつMySQLを5.1に上げる方法を記載しておく。

最終的には、MySQLを5.5にしなければならないが、RHEの移行ポリシーも 5.0→5.1→5.5の順に上げるように指示しているので、まずは、5.0→5.1の更新を行う。

なお、RHEは、移行のために mysqld 5.1を準備しているが、これは移行時のためのreleaseであり、サポートはないので注意すること。

PHP5.1とMySQL5.0

RHE 5シリーズ、CentOS 5シリーズでは、PHP 5.1及びMySQL5.0を採用していた。PHP5.1からMySQLを利用する場合、PDO_MYSQL.soかMYSQL.soを利用するが、このDSO(Dynamic Shared Object)はlibmysqlclientをlinkしている。これが、何らかの悪影響を及ぼす可能性がある。

また、本来であればPHP5.1は、そもそもメンテナンスも終了しているし、Security的にも望ましくないVersionなので、更新するのが本道である。

しかし、一般的に、PHPで記載されたSoftwareを更新するのは非常に難しいので、諦めて PHP5.1 + MySQL 5.1に取り敢えず上げることを優先する。

MySQL 5.0と5.1の違い

ここに、MySQL 5.0と5.1の違いが掲載されているので、ちゃんと確認すること

原則として、MySQL5.0→5.1で、DBのファイルが変更になっている。従って、単純にmysqld 5.0のバイナリーを5.1に置き換えるだけではダメで、mysql_upgradeを実行する必要がある。その他、若干の非互換の部分があるので、可能な限り確認しておくこと

MySQL 5.0から5.1へのUpgrade

事前に、DBを止めるので、その為に必要な準備をしておくこと。事前アナウンスなどを行う必要があるだろう。

仮想Serverなら、一度shutdownして、Snapshotを取得すること。物理サーバーならBackupを取っておくこと。
- こういうところで手を抜くと、必ずあとで痛い目を見ます。マーフィーを侮ってはいけません。
RepositoryにEPELとIUSを追加
- wget http://dl.iuscommunity.org/pub/ius/stable/Redhat/5/x86_64/epel-release-5-4.noarch.rpm
- rpm -Uvh epel-release-5-4.noarch.rpm
- wget http://dl.iuscommunity.org/pub/ius/stable/Redhat/5/x86_64/ius-release-1.0-11.ius.el5.noarch.rpm
- rpm -Uvh ius-release-1.0-11.ius.el5.noarch.rpm
  - 自明だと思うが、当然、EPELやIUSのRPMファイルは、その時の最新版を利用すること
mysqlを削除
- yum erase mysql
  - ここで表示される、削除されるpackageをメモしておくこと。あとで入れ直す必要がある。
MySQL 5.1をInstallする
- yum -y install mysql51 mysql51-devel mysql51-server mysqlclient15
削除されたPackageを再投入
- メモを見て追加すること
my.cnfを修正する
- default-character-set = utf8や、table_cache → table_open_cache / table_definition_cacheへ変更等、若干の変更点があるので、注意して作業すること
mysqldを起動
DBのUpGradeを実行
- mysql_upgrade -u root -p
- 大量にWarningやInfoが出るが、前半で「Tableを更新しろ」と出ている部分は、後半で「更新した」と出てくるので、問題ないことが多い。
- しかし、もし問題があると大変なので、必ず確認すること。
これで終了

なお、実際には、作業開始前に、chkconfig mysqld off等を行って、できるだけ安全に作業を進めるべき。

最後に

5.1から5.5へのUpgradeは、そのうち書きます。恐らく、今回とほとんど変わらないはず。