2013年08月

共用サーバーでのCMS利用について思うこと

今朝一番のニュースで
「paperboy&co.「ロリポップ!レンタルサーバー」で発生している不正ログインについて」
http://www.gmo.jp/info/alert/index130829.php 

私の感覚ではとうとう起こってしまったという感じ。

  • CMSは簡単更新で便利でhtml等の専門知識も不要。
  • プラグインなんかを追加することで、色々な機能が簡単に付加できる。
  • デザインの修正もテンプレートを変えるだけで、簡単にできる。
便利なことこの上ないのですが、色々と裏があります。

まず、人気のCMSであればあるほど、セキュリティのリスクが高まります。
世界中のクラッカーさんたちが、CMSの穴を探しております。
突破されると、簡単に改ざんされます。
CMSそのもののシステムからの侵入とは限りません。
CMSで利用されるプラグインが踏み台にされる可能性もあります。

侵入するために、自分で侵入用のプラグインを配布する場合もあるかもしれません。
もちろん、配布時は他の役に立ちそうなプラグインを偽装します。

1台のサーバーで、1つのドメインで動いている限りにおいては被害にあうのは、そのドメインの所有者だけです。

不特定多数の利用を前提とした共用サーバーにおいて、1つのCMSが踏み台にされることで、単純にそのサーバー上で動く全てのドメインが被害に合う可能性は多分にあります。

クラッカーさんたちの侵入の手順は概ね、下記の手順を踏みます。
  1. 脆弱性のあるバージョンのCMSを利用しているドメインを探す、もしくは脆弱性のあるプラグインを利用しているドメインを探す。
  2. その脆弱性を利用して、悪さがデキるかどうかのチェック。例えば、phpやcgiを設置しちゃいます。いきなり危ないファイルは設置しません。
  3. 設置したphpなどを利用して、内部的な脆弱性のスキャン。
  4. 裏口が開けられるかのトライ。
  5. root権限奪取のためのプログラム類の設置をトライ。
  6. 3〜5の工程でどの程度の悪さができるかを測り、それでもって、イタズラのレベルを決める。
ファイルを改ざんするレベルに留まるのか、rootkitまで設置して乗っ取ってしまうのか。spamの踏み台にするのか、ロボット的に使うのか。。。。

今回のロリポップのようなレベルの改ざんで発覚するのは単なる愉快犯ですよね。

本当に怖いのは、侵入をわからないように改ざんしちゃうことだと思います。

弊社はセキュリティ上の理由で自分の管理下にない世界でCMSの設置を許してません。
「脆弱性が見つかりましたので、CMSをアップデートしますから、30万円いただきます。」といって、納得していただけるクライアントさんであれば、設置しますよ。

ブログをやりたいなら、このlivedoorのようなブログサービスを使ってくださいと言ってます。
 

物理サーバーのディスク障害

数日前から発覚していたんですが、とある所から借りている「専用サーバー」のハードディスクが1基、物理障害を起こしていました。
RAID1を組んでいるので、正常に運営はされておりましたが、その障害のためにサーバーを止めることに。

弊社は最高時は15台の物理サーバーを管理しておりましたが、現在は今回の障害を引き起こした1台のみになっています。
ほとんどがVPSやクラウド上に移管してしまいました。

物理サーバーを管理しなくなったメリットは「ハードウェア」の障害に対して無頓着でいられるというメリットが有ります。

今回のハードウェア障害を元に、この物理サーバーの運用をクラウドやVPS上に変更できたらとは思っておりますが、どうなることやら。
 

ドライブレコーダーの購入を検討中

ドライブレコーダーの購入を検討中です。
評価基準すらわからないので、色々と調べてます。

調べていく中で、とにかく下記のものは私にとっては必須条項かと。
  • GPS
  • 解像度
  • 録音機能
  • 常時録画
【GPS】
GPSが内蔵されると、位置情報はアタリマエのことですが、「時間」が正確になること!これは重要なポイントな気がします。
【解像度】
解像度が低い機種の場合はナンバープレートの読み取りが難しい場合があるらしい。。。
【録音機能】
これ、個人的にはどうでもいいと思っていましたが、事故の際に「クラクションの有無」って結構大事らしい!
【常時録画】
せっかく買うんだから、常時録画ができる機種がほしいと思うのは欲張りでしょうか?

以前、「はてな」でいいドライブレコーダーのブックマークを見つけたんですが、見つけられません。

オートバックスあたりで、上記4点を注意しながら、比較検討して購入しようかと思ってます。
 

食事会

ひさしぶりに、ワインを飲みながら食事をするようなお店へ。
残念ながら、店名は失念!

image

image


メインは羊!
image

新規の引き合い

池田脳神経外科の池田先生より新規の仕事の引き合いをいただきました。

お医者さん繋がりでのお話です。
来週の月曜日にお会いしに伺います。

彼の期待を裏切らないように、お仕事せねば!! 
QRコード
QRコード
  • ライブドアブログ