仕事

共用サーバーでのCMS利用について思うこと

今朝一番のニュースで
「paperboy&co.「ロリポップ!レンタルサーバー」で発生している不正ログインについて」
http://www.gmo.jp/info/alert/index130829.php 

私の感覚ではとうとう起こってしまったという感じ。

  • CMSは簡単更新で便利でhtml等の専門知識も不要。
  • プラグインなんかを追加することで、色々な機能が簡単に付加できる。
  • デザインの修正もテンプレートを変えるだけで、簡単にできる。
便利なことこの上ないのですが、色々と裏があります。

まず、人気のCMSであればあるほど、セキュリティのリスクが高まります。
世界中のクラッカーさんたちが、CMSの穴を探しております。
突破されると、簡単に改ざんされます。
CMSそのもののシステムからの侵入とは限りません。
CMSで利用されるプラグインが踏み台にされる可能性もあります。

侵入するために、自分で侵入用のプラグインを配布する場合もあるかもしれません。
もちろん、配布時は他の役に立ちそうなプラグインを偽装します。

1台のサーバーで、1つのドメインで動いている限りにおいては被害にあうのは、そのドメインの所有者だけです。

不特定多数の利用を前提とした共用サーバーにおいて、1つのCMSが踏み台にされることで、単純にそのサーバー上で動く全てのドメインが被害に合う可能性は多分にあります。

クラッカーさんたちの侵入の手順は概ね、下記の手順を踏みます。
  1. 脆弱性のあるバージョンのCMSを利用しているドメインを探す、もしくは脆弱性のあるプラグインを利用しているドメインを探す。
  2. その脆弱性を利用して、悪さがデキるかどうかのチェック。例えば、phpやcgiを設置しちゃいます。いきなり危ないファイルは設置しません。
  3. 設置したphpなどを利用して、内部的な脆弱性のスキャン。
  4. 裏口が開けられるかのトライ。
  5. root権限奪取のためのプログラム類の設置をトライ。
  6. 3〜5の工程でどの程度の悪さができるかを測り、それでもって、イタズラのレベルを決める。
ファイルを改ざんするレベルに留まるのか、rootkitまで設置して乗っ取ってしまうのか。spamの踏み台にするのか、ロボット的に使うのか。。。。

今回のロリポップのようなレベルの改ざんで発覚するのは単なる愉快犯ですよね。

本当に怖いのは、侵入をわからないように改ざんしちゃうことだと思います。

弊社はセキュリティ上の理由で自分の管理下にない世界でCMSの設置を許してません。
「脆弱性が見つかりましたので、CMSをアップデートしますから、30万円いただきます。」といって、納得していただけるクライアントさんであれば、設置しますよ。

ブログをやりたいなら、このlivedoorのようなブログサービスを使ってくださいと言ってます。
 

物理サーバーのディスク障害

数日前から発覚していたんですが、とある所から借りている「専用サーバー」のハードディスクが1基、物理障害を起こしていました。
RAID1を組んでいるので、正常に運営はされておりましたが、その障害のためにサーバーを止めることに。

弊社は最高時は15台の物理サーバーを管理しておりましたが、現在は今回の障害を引き起こした1台のみになっています。
ほとんどがVPSやクラウド上に移管してしまいました。

物理サーバーを管理しなくなったメリットは「ハードウェア」の障害に対して無頓着でいられるというメリットが有ります。

今回のハードウェア障害を元に、この物理サーバーの運用をクラウドやVPS上に変更できたらとは思っておりますが、どうなることやら。
 

新規の引き合い

池田脳神経外科の池田先生より新規の仕事の引き合いをいただきました。

お医者さん繋がりでのお話です。
来週の月曜日にお会いしに伺います。

彼の期待を裏切らないように、お仕事せねば!! 

待ち時間

image

とある事務所で作業待ち。

眠い。

SSD容量危機

Windows7が発売された頃に新調した仕事用メインマシンのSSDが容量不足気味になってきた。
サイズは80GByte。
 
ssdimg

 まだまだ使える感じの状態ではあるが、油断をするとすぐに残容量が10GByteほどになってしまう。
 基本的なデータ類はCドライブではなく、Dドライブに保存するようにはしているが、プログラム関連は素直にCドライブにインストールしている。

 WindowsUpdateなどでたまる、復帰用のデータ等もあってそろそろ厳しい状態になってきた感じ。

 バックアップを取って、SSDを増量させようか・・・ただ、今のSSDの使い道がなくなるのも寂しい気がしてる。
 
QRコード
QRコード
  • ライブドアブログ