Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら RSSフィードのご登録はこちらから
公開日:2014年2月24日

ModSecurity のルールを全て適用したら 404 エラーが減って 403 エラーが激増した

このサイトは、ModSecurity を導入していましたが、実際に攻撃を防御するためのルールを、影響度の大きい基本ルール、SQL インジェクション、クロスサイトスクリプティングに限定していました。

これは、全てのルールを適用してしまうと偽陽性の発生確率が高まり、運用に支障が出るのを回避するためでした。もともとこの発想は、IPA が公開している以下の資料を元にしていました。Web サイトを運営するなら一読の価値はある資料だと思います。

しかし、Web サーバーのログをチェックしていると、最近、Web サーバーへの攻撃頻度が高くなってきました。

ほとんどは、403 Forbidden か 404 Not Found で攻撃は失敗しているのですが、セキュリティパッチの出ていないゼロデイ攻撃をされないとも限りません。そのため、考え方を安全重視に変えて、ModSecurity のルールを全て適用するように変更したのが昨日のことです。

今日、ログはどうなったかと確認したら、403 Forbidden のログが大量に出ていました。偽陽性の疑いのあるログも結構ありましたが、404 Not Found が 403 Forbidden に変わったような感じです。

特筆すべきなのは、”wp-login.php” へ 45 回も 403 Forbidden のエラーが発生している点です。明らかに不正ログインを試みようとして失敗しています。これだけでも、全ルールを適用した価値があるというものです。

現状を見る限り、WAF (Web Application Firewall) の導入は推奨レベルを超えつつあるのではないかと思います。導入できない理由がない場合は、導入することを積極的に検討するレベルではないでしょうか。

以下に、昨日のログを掲載しますが、これを機に WAF の導入を検討するきっかけになれば幸いです。補足しておくと、昨日は攻撃が普段と比べると少なかったです。それでも、結構危険そうなアクセスが含まれています。

 Requests with error response codes
    400 Bad Request
       /2013/03/02/index.php?option=com_jce&task= ... 86d0dd595c8e20b: 2 Time(s)
       /2014/01/18/index.php?option=com_jce&task= ... 86d0dd595c8e20b: 4 Time(s)
       /index.php?option=com_jce&task=plugin&plug ... 86d0dd595c8e20b: 6 Time(s)
    403 Forbidden
       /: 96 Time(s)
       //images/stories/explore.gif: 1 Time(s)
       /2013/03/02/images/stories/food.php?rf: 1 Time(s)
       /2013/03/02/index.php?option=com_jce&task= ... ion=1576&cid=20: 2 Time(s)
       /2013/03/20/679: 9 Time(s)
       /2013/11/17/1019: 4 Time(s)
       /2013/11/17/1019/feed: 16 Time(s)
       /2013/11/28/1145: 4 Time(s)
       /2013/12/05/1233: 4 Time(s)
       /2013/12/24/1366/feed: 4 Time(s)
       /2013/12/31/1406/feed: 4 Time(s)
       /2014/01/18//images/stories/explore.gif: 1 Time(s)
       /2014/01/18/images/stories/food.php?rf: 1 Time(s)
       /2014/01/18/index.php?option=com_jce&task= ... ion=1576&cid=20: 4 Time(s)
       /2014/02/23/1845: 31 Time(s)
       /ChromeSetup.exe: 1 Time(s)
       /category/blog/feed: 5 Time(s)
       /category/security/page/3: 1 Time(s)
       /category/tools/page/7: 1 Time(s)
       /category/tools/page/8: 1 Time(s)
       /cgi-bin/rtpd.cgi?/bin/busybox: 1 Time(s)
       /favicon.ico: 16 Time(s)
       /feed: 19 Time(s)
       /images/stories/food.php?rf: 2 Time(s)
       /index.php?: 2 Time(s)
       /index.php?option=com_jce&task=plugin&plug ... ion=1576&cid=20: 6 Time(s)
       /robots.txt: 11 Time(s)
       /sitemap: 1 Time(s)
       /waf/feed: 6 Time(s)
       /webappsec: 1 Time(s)
       /wp-comments-post.php: 3 Time(s)
       /wp-content/plugins/sem-external-links/external.png: 7 Time(s)
       /wp-content/themes/websecroom/images/Facebook.png: 7 Time(s)
       /wp-content/themes/websecroom/images/RSS.png: 7 Time(s)
       /wp-content/themes/websecroom/images/Twitter.png: 8 Time(s)
       /wp-content/themes/websecroom/images/arrow.gif: 7 Time(s)
       /wp-content/themes/websecroom/images/gplus-32.png: 7 Time(s)
       /wp-content/themes/websecroom/images/header.jpg: 7 Time(s)
       /wp-content/themes/websecroom/images/list.png: 7 Time(s)
       /wp-content/themes/websecroom/images/point.gif: 7 Time(s)
       /wp-content/uploads/2013/03/login_thumb1.png: 1 Time(s)
       /wp-content/uploads/2013/03/pic01_thumb2.png: 1 Time(s)
       /wp-content/uploads/2013/04/pic01_thumb.png: 1 Time(s)
       /wp-content/uploads/2013/04/pic02_thumb.png: 1 Time(s)
       /wp-content/uploads/2013/04/pic03_thumb.png: 1 Time(s)
       /wp-content/uploads/2013/04/pic04_thumb.png: 1 Time(s)
       /wp-content/uploads/2014/01/pic01_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic02_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic03_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic04_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic05_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic06_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic07_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic08_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic09_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic10_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic11_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic12_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic13_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic14_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic15_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic16_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic17_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic18_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic19_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic20_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic21_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic22_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic23_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic24_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic25_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic26_thumb.png: 5 Time(s)
       /wp-content/uploads/2014/01/pic27_thumb.png: 5 Time(s)
       /wp-login.php: 45 Time(s)
       /xmlrpc.php: 3 Time(s)
       User-Agent:: 3 Time(s)
       mx0.mail2000.com.tw:25: 1 Time(s)
    404 Not Found
       /2013/03/14/567): 1 Time(s)
       /2013/03/28/821VMWare: 1 Time(s)
       /2014/01/18/1680: 2 Time(s)
       /2014/01/18/images/stories/food.php?rf: 1 Time(s)
       /apple-touch-icon-precomposed.png: 25 Time(s)
       /apple-touch-icon.png: 14 Time(s)
       /browserconfig.xml: 3 Time(s)
       /category/php/page/2: 1 Time(s)
       /cgi-bin/rtpd.cgi?/bin/busybox: 1 Time(s)
       /images/stories/food.php?rf: 1 Time(s)
       /www.facebook.com/plugins/likebox.php?href ... amp;header=true: 14 Time(s
)
       User-Agent:: 1 Time(s)
    500 Internal Server Error
       /wp-comments-post.php: 2 Time(s)


スポンサーリンク





カテゴリー:ブログ

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA