[Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは – ID3801

by Google Ads ID:11145
by Google Ads ID23293
by Google Ads ID:11143(2)
by Google Ads ID24747

Post Views: 41

by Google Ads ID8603

1 RT2600ac
- 1.1 NASとRouter
2 Threat Prevention
- 2.1 インストール
3 「侵入を試みる」ログ
4 ESSHOP?
5 Referer? / Injection?
6 まとめ

RT2600ac

NASとRouter

Synology社のRT2600acは、協力なセキュリティ機能を持つ高速ルーターです。パッケージセンターに、無料のセキュリティソフト「Threat Prevention」があります。導入することをお勧めします。

RT2600acハードウェアインストールガイド

RT2600acユーザーガイド(SRM 1.2)

もしも、ローカルネットワークにNASを立ち上げて、インターネットからNASにアクセスしたり、WordPressを立ち上げている場合には、不正がアクセスが増加します。是非、「Threat Prevention」を隠スートルして下さい。

NASを構築している場合
Blogサイトを構築している場合

当サイトでは、NASは、Synology社のDSシリーズにWordPressを導入しています。

Synology DS918+
- ホームサーバー
Synology DS920+
- WordPress

NASと同じSynology社の製品であるため、NASからRT2600acの設定(連携)ができます。具体的には、ネットワークのポート番号の設定では、NASのツールから設定すれば、rt2600acのルーターに反映されます。

Threat Preventionは、不正なアクセスからローカルネットワークを強力に守ってくれます。

Synology DiskStation DS918+ [クアッドコアCeleron J3455 1.5GHz CPU搭載] 4ベイNASキット by AMAZON – ID14279

Synology DS517 by Amazon ID:22173
Synology DS920+ by Amazon ID:22172
オムロン BY50S用パック by Amazon ID:22171
オムロン BY50S by Amazon ID22170
Synology 高機能無線ルーター 800Mbps + 1,733Mbps(11a/b/g/n/ac対応) 高セキュリティ VPN Plus対応 RT2600ac by Amazon ID24327
エレコム LANケーブル CAT6A 5m 爪折れ防止コネクタホワイト LD-GPA/WH5 by Amazon ID24327

Threat Prevention

by Rakuten ID:15895

インストール

Synology Router「RT2600ac」にログインして、パッケージセンターからThreat Preventionをインストールします。

Threat Preventionをインストールした初期状態でも、セキュリティとして重大性が「大」ものは、自動判定して「ドロップ」してくれます。

設定により、重大性が「中」、「小」についてもドロップの設定も可能です。

Threat Preventionが、怪しいアクセスを察知してドロップした時には、指定したE-mailアドレスに知らせてくれるように設定することも可能です。

「侵入を試みる」ログ

Threat Preventionを運用していて，以下のようなログが残っていることがよくあります．

ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Referer

ESSHOP?

ECSHOPというのは，e-コマースショップということで，電子商取引のことを意味するようです．要するにWeb Shopのことですね．

どうやら、Web Shopに向けた攻撃のようです。

WordPressのセキュリティ関連をネットで調べてみると、WordPressに実装されているデータベースが、攻撃の標的になりやすいとの事でした。

あと、Web Shopでメンバーシップを構築するために、パスワードで管理されたページを作れるプラグイン「Ultimate Member」があるのですが、数年前に不正攻撃の標的として結構な数があったと、ある記事にありました。

by Google Ads ID19417

基本的に、WordPressの稼働数は全世界的であり、最も多いサイトのサーバーです。致し方ないことだと思います。

話はもどって。

Referer? / Injection?

侵入しようとしてるハッカーは，Refererというヘッダーに記載された内容で注入(Injection)することで，ターゲットのサイトの脆弱性(OSのコマンドをPHP経由で実施できるかどうか)を検査しているようです．

ログによれば、このパケットを「Threat Prevention」が感知した訳です．

用語の解説は，以下サイトにあったので参考にさせて頂きました．
ペネトレ検証-ECサイトに侵入 – Shooting!!!より

侵入される原理がよくわからないので，直接的な対策はよくわからないのですが，完全にお任せしてよいです。だだし、重大性が「中」のものは、「ドロップ」設定にした方がよいと、少なくとも「Threat Prevention」はログにアラートを残しているので、定期的にログを確認して、そのIPアドレスを「ドロップ」に設定にしておきます。

実は、重要性「中」及び「小」についても、運用後、2年ほどになりますが、「ドロップ」設定には余りしたことがありません。

というのも、「中」のログでも、結構な数になかるらです。重要度「大」のドロップで必要十分かも知れません。

まとめ

まあ、何が起こるがわからないので、定期的なログの確認は行いましょう。

以上

Synology DiskStation DS918+ [クアッドコアCeleron J3455 1.5GHz CPU搭載] 4ベイNASキット by AMAZON – ID14279

編集履歴
2020/03/05 追記 WordPressのデータベースが標的になりやすいこと、数年前にUltimate Memberプラグインが標的になったこと。
2020/04/17 追記　定期的なログの確認について

by Amazon ID13211
by Amaozn ID13196

【Amazon.co.jp 限定】HP USBメモリ 128GB USB 3.1 スライド式金属製 HPFD796L-128 GJP by Amazon - ID 24751
3Dプリンターダヴィンチ Jr. 1.0(造形サイズ15×15×15cm) - 環境に優しい土に返るPLAフィラメント - ダビンチ Jr. 1.0 XYZプリンティングジャパン by AMAZON ID21513
3Dプリンター|ダヴィンチ1.0 pro|オートキャリブレーション機能付|オープンフィラメント可|ABS対応|造形サイズ20×20×20cm|レーザー刻印機能拡張可|積層ピッチ0.02mm~|3F1AWXJP00F - XYZプリンティングジャパン by AMAZON ID21511
ABS使用可造形サイズ175×175×175mm オープンフィラメント可オートキャリブレーション機能付きレーザー刻印機能拡張可金属系PLA拡張可 3FJSPXJP00G - ダビンチ Jr.Pro X+ XYZプリンティングジャパン by AMAZON ID21509
zedela 5-in-1 USB-Cハブ【3ポート5Gbps by Amazon - ID 24751