表題の通り、はじめて攻撃されました。
結論から言うと、phpMyAdminを使っていないので僕は無傷。

でも、ブログを公開して数日こんな過疎っているところにも攻撃は来るわけで、
うちは大丈夫だろうという『だろう運用』ではダメだってことだ。

風邪菌のようにクラッカーの攻撃はそこら中にあふれているのだなぁ。

phpMyAdminの脆弱性を狙った攻撃

攻撃が発覚したのは、お客来ないかな〜とアクセスログを眺めていたら、
myphp/scripts/setup.phpや
pma/scripts/setup.phpというディレクトリに対するリクエストが大量にあった。

全部404を返しているけれど、scriptsの上のディレクトリ名を何度も変えてリクエストをしている。
ブルートフォースアタックのようなアクセスだ。

なんじゃこりゃってことで調べましたよ。
この脆弱性は、二、三年前くらいに確認されているようで
いってみれば古い攻撃だね。

phpMyAdminというMySQLをウェブでコントロールできるソフトウェアに対する攻撃。
うちはそのツールを使わず、SSHで操作しているので関係なし。

適切にバージョンアップしていれば防げるような類の攻撃でしょう。

クラッキングに成功すると、PHPの関数が実行できる状態になるので
ウィルス配布用ウェブサイトになったり、乗っ取られたりするわけだね。
恐ろしい話だ。

最新版は3.5.4だけれども、この攻撃に対する脆弱性を持っているバージョンは
2.11.9.5以前と3.1.3.1以前のバージョンだそうだ。

もうほとんどのサーバーではバージョンアップされているだろうし、脆弱性を放置しているサイトはごくごく一部なんだろうけれど
クラッカーにしてみたらもしそんなサイトがあったらラッキー程度のつもりで自動巡回で攻撃しているんだろうね。

中小企業などではバージョンアップに対する費用やリスクで中々重い腰をあげようとしないところがあるみたいだけれども、
外部に公開している限りバージョアップは最も重要なこととして計画して行かないとね。

うちは関係ないからでは済ませられない

たまたま今回は効果のない攻撃だったが、
クラッカーの手口は多種多様だから、もしかしたら自分のサイトに脆弱性があり、それに有効な攻撃を許す可能性だって充分ある。

特にPHPやWordPressは標的になりやすい。

アクセスログをよく解析して、怪しげな連続リクエストがないかみて、
自分の使っているソフトウェアの脆弱性情報を仕入れて、
そして何よりも基本的な防御を施すことが大事だね。

SSHはポートを変更し、ルートでアクセスできないようにし、パスワードは充分すぎるくらいに長く設定。
不要なポートは閉じる。
FTPは使わない。
MySQLのユーザーの接続制限
Apacheの実行ユーザーとパーミッションの適切な設定。
などなど基本的なことをしっかりやる。

自分で公開サーバーを管理することは、自分でやらなければならないことが多い分
勉強になるなぁ。

やはり借りてよかった。