mt-comments.cgiへの攻撃対策

| コメント(0) |カテゴリ:

心を入れ替えてブログ更新するはずでしたが、おやじが使っているロリポップから、こんなメールが来ました。

ご利用のサーバーに設定されております以下のプログラムにて、
スパムコメントが行われておりサーバーに負荷が発生しております。

mt/mt-comments.cgi

現在はサーバー負荷が発生していたため上記のプログラムファイルが、
動作しないようにパーミッションを変更させていただきました。

お手数ですが該当のファイルについて、
脆弱性等の報告、脆弱性に対応したバージョンや最新版等が、
配布されていないか配布元にご確認頂きますようお願いいたします。

なにやら酔狂な方が攻撃を仕掛けて来ているらしいです。

なんか対策しなきゃいけないらしいので、メールの指示通りSix Apartのサイトで調べてみましたが、特に脆弱性の報告は無し。

”うにゃ?”と暫し耄けた後に、「mt-comments.cgi」でググってみると、最近流行しているらしく、おやじと同じようにロリポップからお叱りを受けている方々が沢山いました。中にはスパムコメントが溢れかえっていた方もいたようですが、幸いおやじは以前から「TypePad AntiSpam」プラグインを導入していたので、コメントが数千件付いちゃうような自体は避けられてましたが、cgiが実行されてサーバー負荷が上がってロリポップに怒られる事には変わりないので、被害に遭われた方々の対策方法を参考に対策を入れてみました。以下は、その備忘録。

対策その1:mt-comments.cgiのファイル名変更

攻撃側は、「mt-comment.cgi」というファイルを標的にしているらしいので、ファイル名を適当な名前に変更します。これで攻撃は躱せるらしいですが、MovableType君のコメント機能も躱しちゃってコメント出来なくなるので「対策その2」が必要です。ちなみに、ロリポップさんに寄ってパーミッションが全禁止にされているので、そのままだとファイル名変更も出来ません。ファイル名変更する前に、実行以外のパーミッションを許可しましょう。

以下の説明では、ファイル名を「bokasuka.cgi」に変えたと仮定します。

対策その2:MovableType君に新しいファイル名を教えてあげる。

「mt-config.cgi」を編集して、末尾に以下の一行を追加します。

CommentScript bokosuka.cgi

これでコメント出来るようになりますが、変更したファイル名を攻撃者に知られてしまうと元の木阿弥らしいです。攻撃者がどうやってファイル名を特定するのか知りませんが、念のため「対策その3」に進みます。

対策その3:ファイル名をスクリプトを使って隠蔽する。

コメントテンプレートを編集します。テンプレートの中に一カ所ある

form method="post" action=

という部分を探し、

action="<$mt:CGIPath$><$mt:CommentScript$>"

を削除します。そしてテンプレート末尾に以下を追加。

<script>
document.comments_form.action = "<$MTCGIPath$><$MTCommentScript$>";
</script>
<noscript>
コメントを投稿するにはJavaScriptを有効にしてください
</noscript>

これでファイル名も隠蔽出来て一安心ですが、念には念を入れます。

対策その4:まだら模様な日々のサイト内からのアクセスのみ許可する。

bokasuka.cgiと同じディレクトリに、「.htaccess」を置きます。ファイルの中身は、

<Files mt-comments.cgi>
SetEnvIf Referer "^http://example.com" ref
order deny,allow
deny from all
allow from env=ref
</Files>

「example.com」の部分は、自分のドメイン名になります。

以上で対策完了。

試しに自己コメントしてみて正常動作している事を確認。bokasuka.cgiのパーミッションも実行権限を与えました。

再びロリポップさんに怒られるのか、暫く様子見です。 

コメントする

Powered by Movable Type 6.0

2015年1月

        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

このブログ記事について

このページは、kaneyukiが2013年5月22日 22:40に書いたブログ記事です。

ひとつ前のブログ記事は「Dash P18初輪行」です。

次のブログ記事は「DAHON Dash P18がやって来た! 後編」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。