goods and life +

こんな輩があとをたたない2というか。

WordPress や WooCommerce のプラグイン、”Fancy Product Designer” だかなんだか知らんけど、こういう足跡を見ていると、そんなプラグインはとっとと削除するのがよさげですねえ。




うちはそんなの使ってないんですけど、こうやって来る。
認証されていない任意のファイルのアップロードが可能だなんて、とんでもないですねw

プラグインは常にアップデートしておくか、よく吟味してチョイスしてくださいねって感じで。

てことで WordPress を使うユーザー向けのつまらんお話。

で、金曜日の時点では他にもこういうプラグインがアレな感じです。
エクスプロイトをスキャンする…

Web App Attack 祭りや〜…(´・ω・`)

(※太字の部分がプラグインの名称になります)

/wp-content/plugins/fancy-product-designer/assets/css/FancyProductDesigner-all.min.css

/wp-content/plugins/fancy-product-designer/assets/js/FancyProductDesigner.js

/wp-content/plugins/simple-301-redirects/assets/css/simple-301-redirects.css

/wp-content/plugins/simple-301-redirects/assets/js/simple-301-redirects.core.min.js

/wp-content/plugins/official-facebook-pixel/css/admin.css

/wp-content/plugins/controlled-admin-access/admin/js/controlled-admin-access-admin.js

/wp-content/plugins/business-directory-plugin/assets/js/admin.js

/wp-content/plugins/cmp-coming-soon-maintenance/js/cmp-advanced.js

/wp-content/plugins/wpcf7-redirect/js/wpcf7-redirect-script.js

/wp-content/plugins/store-locator-le/js/slp_core.js

/wp-content/plugins/external-media/js/external-media.js

/wp-content/plugins/visitors-traffic-real-time-statistics/js/front.js

/wp-content/plugins/wp-content-copy-protector/js/simpletabs_1.3.js

/wp-content/plugins/kaswara/front/assets/js/script.js

/wp-content/plugins/quadmenu/assets/frontend/js/quadmenu.js

/wp-content/plugins/theplus_elementor_addon/assets/css/admin/theplus-ele-admin.css


…うちはそんなプラグインは使ってないんですけどね。

現状、AS16509 AMAZON-02 と AS16276 OVH 経由のアクセスのほぼ全部がこんなのです、ていうかこれ、まだ未公開の寝ログの人のテンプレートだけが入っている状態の例のワードプレスのドメインに来ているわけですよ。
毎度"AS16276 OVH"のおフランスから。



秒速で('A`)マンドクセ

火曜日の時点では他にもこういうプラグインがアレな感じです。



(※太字の部分がプラグインの名称になります)


/wp-content/plugins/store-locator-le/js/slp_core.js

/wp-content/plugins/external-media/js/external-media.js

/wp-content/plugins/visitors-traffic-real-time-statistics/js/front.js

/wp-content/plugins/super-interactive-maps/sim-wp-admin/pages/import.php

/wp-content/plugins/superlogoshowcase-wp/sls-wp-admin/pages/import.php

また OVH か、もうね。
…まあうちはそういうディレクトリやらプラグインなんて一つも該当しませんし、そもそも使ってないですけどね。

秒速で('A`)マンドクセ


もちろんその後も続いてます(笑
 icon-ban おすすめ
WPScan

WordPress のプラグインとテーマの脆弱性のデータベースです。
発見次第随時更新されています。
ここに示されるプラグインはアップデートがない放置状態なら、すぐに使うのをやめて削除するべきです。


実はドメインによって不要なアタックの状況は変わる?

Cloudflare などのワールドワイドなサービスを使うから却ってアタックが増えるんだとか書いちゃってる人もいますけど、本当にそうでしょうか?

必要でない悪質なアクセスを Cloudflare ほど自動的に排除してくれる仕組みを任意で簡単に作れるところってそんなに存在してないですよね、Google Cloud Platform や Cloudflare ってものすごいええ感じですよね、どこでも宣伝されているレンタルサーバー屋さんでそこまでやってくれているあるいはそこまでの設定が任意で行える仕組みがあるところってないに等しいですし、あったらみんな使いますよね。
海外のレンタルサーバー、ホスティング サービスだと Kinsta くらいかなって感じで。

で、これはまあ絶対数が圧倒的に少ないのでなんとも言えないですが、参考までに。
個人的な状況だと、ぶっちゃけ取得しているドメインによっても不要なアタックの数量ってもう全然違うんだなって感じなんですよね。

同じ Cloudflare を利用している .jp のドメインと .monster のドメインだと、悪質なチャレンジの量って 1:99 くらいの感じで、それが .com だと .monster の 2/3 くらいな感じになっています。
あと IP アドレス、IP アドレスの範囲、ASN または国に基づいて IP アクセス ルールを設定する時に便利なのは、特定のサイトだけでブロックもできますが、アカウントにある全てのサイトで一括して適用できるところですね、これは楽で効率もいいです。

ちなみにドメインの取得そのものは star domain で行なっています。



クソASの二大巨頭
AS 番号別では,欧米を中心に展開する Web ホスティング会社の OVH Systems(AS16276)が一番多く、やてw (やて調)
PDF・DNSハニーポットによるDNSアンプ攻撃の観測 - 情報学広場

DNS アンプ攻撃の被害を受けている国名と AS 番号には顕著な偏りが確認できる.国別で見ると,アメリカ合衆国 が一番多く,これにフランス,ルーマニア等の欧米諸国が 続く.また,AS 番号別では,欧米を中心に展開する Web ホスティング会社の OVH Systems(AS16276)が一番多く,以降,Web ホスティングサービスやクラウドサービス 等を運営する企業が続いており,これらの企業が主な攻撃 対象となっていることが分かる.


ていうか、この情報はもうだいぶ古くて、たしか2013年ごろのレポート。
いまだにここの5ページ目にある状態が続いているんだとしたら、この AS もアフォでしょ、もうかれこれ7〜8年くらいこのような状態をずっと放置してきているわけだし。
実際こんなんばっかなんですよ OVH は。



エクスプロイトをスキャンする Web App Attack とか、これも AS16276 OVH の OVH Hosting、おフランスじゃなくてこっちはカナダですけど、ぶっちゃけ同じ。
また OVH か。

AbuseIPDBにも現時点で27回報告されとります、まだ少なめだけど。
"AS16276 OVH" ごと Ban にしとけば、かなりの被害が未然に防げますよね。


あと amazon の aws
といっても、いまのところいつもの例の "AS16509 AMAZON-02" 限定のお話。
つまり、“AS16509 AMAZON-02” ごと Ban にしとけば、OVH 同様にかなりの被害が未然に防げます。
なんでこんなことにばっか使われてるのかって感じ。



ていうか誰やねん?、って感じでウザいですね。



仮に "AS16509 AMAZON-02" ごと Ban したとしても、べつに本家の amazon.co.jp のサービスやら amazon の各種サービス、 Amazonギフト券 などには一切関係がなくて、なんの影響も不利益もなく普通に安心して使っていただけます。



自分のサイトは海外からのアクセスが必要なく、一生関係ないんだぜっていう場合で、特定の ASN ごと Ban しときたいって感じなら、ただのリスクとリソースの無駄でしかないエクスプロイトのスキャンや果てしないログインチャレンジなど、たちが悪いもんの巣になっている AS をブロックしてしまうということも可能、特にクソASの二大巨頭とかね(笑

あと OVH Systems(AS16276)、AS16509 AMAZON-02 に次いでマジキチが多いのはAS14061 DIGITALOCEAN-ASN って感じですね。

言い換えたら、こんなもんはなんの関係もない怪しい知らん人が秒速で入れ替わり立ち替わりしながら、かわるがわる変な鍵を持ってきては家のドアやら窓やらをぶっ叩いてたり、鍵穴にいろんなもんを突っ込んで、ずっとガチャガチャ…ガチャガチャ…ってやり続けられてるのと一緒ですからね。

そういう異様な光景を想像してみてください。

ほとんどゾンビ映画かキチガイだけど、人間が bot にこれをやらせてるわけですからね。
どこかが教えてるような綺麗事とか真っ赤な嘘ですから、綺麗事を子供や年寄りにすり込んでる人達の正体って、言い換えればそういう bot 側の立場の人間なのかもしれないですね。

だって故意にありのままの現実を伝えようとしないんだから、それには何らかの理由があるのでしょう。
こわいですね、しらんけど。



無駄な秒速アタックを無くすことでサーバーのパフォーマンスも上がり、リスクも下がるわけなので、損することがないどころか、これはあんがい前向きな対応なのかもしれないですね。
しかもこれ Cloudflare 側で行っていることなので、オリジンサーバー側から見たら何十パーセントも帯域幅が減らせてるんですからいいことづくめ。

Cloudflareを使ったファイアウォールなら無料プランでも5個までならルールが作れるので、ブロックアクションに UA や 国以外にも、ロクでもないなーって実績の AS Num を指定しておくことができます。
それとは別枠で、UA のブロック化ルールは無料プランでも10個まで作れるようになっています。
About Cloudflare Firewall Rules

追記:WordPressプラグイン ProfilePress に簡単に悪用可能な重大な脆弱性
ユーザー登録が無効になっている場合でも、事前の認証を必要とせずに、脆弱なサイトに任意のファイルをアップロードし、サイトの管理者として登録することができます。
ProfilePress(以前のWP User Avatar)影響を受けるバージョン: 3.0 – 3.1.3
脆弱性対策の施された修正版の最新バージョン ProfilePress(3.1.8) へのアップデートを行ってください。
同じレンタルサーバーの中にこれ使ってる人がいて、そんで、修正版にアップデートせずほったらかしにされたら他のユーザーもめちゃくちゃリスクがありますね。

こんな輩があとをたたないというか。

マンドクセ…(´◉◞౪◟◉)

Related

お買いもの忘れはないですか?

URL :
TRACKBACK URL :

*
*
* (公開されません)

CAPTCHA


※スパム対策のため、日本語を含まない投稿は無視されます。

Return Top