先週から派遣先で使っているブログサーバーのアクセスログを解析しています。
ブログで使っている WordPress で使っている自作のテーマに不備があり、大量のログが出ているのを知っていたので、それらの不具合を改修したので出なくなったのを確認してます。
ついでに、他に不備があればいっしょに修正してしまおうと探したところ、攻撃の痕跡がいくつも見つかりました。
ネットでサーバーに対する攻撃の記事とかを読むし、ニュースにもなって気になっていたのですが、思ったより頻繁に行われているようです。
派遣先は、山形県にある大学で、まあ日本で有名とは言えませんが、地元では誰でも知っているようなところで、ネットでの発信もいろいろとやっています。検索サイトで探せば幾つも出てくるところなのですが、海外にも知られている訳では無いと思います。
きっと過去にも似たような攻撃を受けて、何かかしらのリストに載ってしまったのでしょうか。ここ2日くらいのログをざっと見ただけでも、海外からの攻撃が幾つもありました。
いずれもWordPress を標準的にインストールした場合に存在するパスへのアクセスで、今使っているサーバーにそのファイルは存在しません。そのため、「ファイルが無い」(httpd のステータスコードの 404 )が表示されていると思うのですが、いろいろと試してアクセスしているのでしょう。
中にはアップロードした怪しいスクリプトを実行しようとするアクセスもありましたが、元からそんなファイルは存在しないので、こっちも「ファイルが無い」という表示がされているはず。
とはいえ、これだけアクセスがきているということは、油断していると不正アクセスを許してしまうか
もしれない、ということであまりいいことではない。ちょっと便利だからといって、変なバックドアを作らないように注意しないといけない。
なお、派遣先のサーバーには、こんなアクセスがありました。
POST /wordpress/wp-content/uploads/2015/10/script.php GET /wp-login.php GET //wp-admin/options-link.php?x1 GET /?????/wp-content/uploads/2013/02//wp-admin/includes/themes.php?x1 GET /?????/wp-content/uploads/2013/02//wp-admin/options-link.php?x1 GET //wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php GET /wp-content/plugins/wp-ecommerce-shop-styling/includes/download.php?filename=../../../../wp-config.php GET /wp-login.php?action=register
WordPress のブログ記事を普通に見るだけなら拡張子が.phpのファイルをアクセスすることはありません。攻撃と思っていいと思います。今回確認したサーバーへは、特に wp-config.php を表示させようというアクセスがきてました。やはり、WordPress はこのファイルがセキュリティ上のネックなのかもしれません。