カテゴリー
security Synology WordPress

[Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは – △ID3801

[Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは – △ID3801

RT2600ac

NASとRouter

Synology社のRT2600acは、協力なセキュリティ機能を持つ高速ルーターです。パッケージセンターに、無料のセキュリティソフト「Threat Prevention」があります。導入することをお勧めします。

RT2600acハードウェアインストールガイド

RT2600acユーザーガイド(SRM 1.2)

もしも、ローカルネットワークにNASを立ち上げて、インターネットからNASにアクセスしたり、WordPressを立ち上げている場合には、不正がアクセスが増加します。是非、「Threat Prevention」を隠スートルして下さい。

  • NASを構築している場合
  • Blogサイトを構築している場合

当サイトでは、NASは、Synology社のDSシリーズにWordPressを導入しています。

  • Synology DS918+
    • ホームサーバー
  • Synology DS920+
    • WordPress

NASと同じSynology社の製品であるため、NASからRT2600acの設定(連携)ができます。具体的には、ネットワークのポート番号の設定では、NASのツールから設定すれば、rt2600acのルーターに反映されます。

Threat Preventionは、不正なアクセスからローカルネットワークを強力に守ってくれます。

スポンサーリンク: ID6183593457

Threat Prevention

インストール

Synology Router「RT2600ac」にログインして、パッケージセンターからThreat Preventionをインストールします。

Threat Preventionをインストールした初期状態でも、セキュリティとして重大性が「大」ものは、自動判定して「ドロップ」してくれます。

設定により、重大性が「中」、「小」についてもドロップの設定も可能です。

Threat Preventionが、怪しいアクセスを察知してドロップした時には、指定したE-mailアドレスに知らせてくれるように設定することも可能です。

スポンサーリンク: ID4219953367

「侵入を試みる」ログ

Threat Preventionを運用していて,以下のようなログが残っていることがよくあります.

ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Referer

スポンサーリンク: ID6183593457

ESSHOP?

ECSHOPというのは,e-コマースショップということで,電子商取引のことを意味するようです.要するにWeb Shopのことですね.

どうやら、Web Shopに向けた攻撃のようです。

WordPressのセキュリティ関連をネットで調べてみると、WordPressに実装されているデータベースが、攻撃の標的になりやすいとの事でした。

あと、Web Shopでメンバーシップを構築するために、パスワードで管理されたページを作れるプラグイン「Ultimate Member」があるのですが、数年前に不正攻撃の標的として結構な数があったと、ある記事にありました。

基本的に、WordPressの稼働数は全世界的であり、最も多いサイトのサーバーです。致し方ないことだと思います。

話はもどって。

スポンサーリンク: ID4219953367

Referer? / Injection?

侵入しようとしてるハッカーは,Refererというヘッダーに記載された内容で注入(Injection)することで,ターゲットのサイトの脆弱性(OSのコマンドをPHP経由で実施できるかどうか)を検査しているようです.

ログによれば、このパケットを「Threat Prevention」が感知した訳です.

用語の解説は,以下サイトにあったので参考にさせて頂きました.
ペネトレ検証-ECサイトに侵入 – Shooting!!!より

侵入される原理がよくわからないので,直接的な対策はよくわからないのですが,完全にお任せしてよいです。だだし、重大性が「中」のものは、「ドロップ」設定にした方がよいと、少なくとも「Threat Prevention」はログにアラートを残しているので、定期的にログを確認して、そのIPアドレスを「ドロップ」に設定にしておきます。

実は、重要性「中」及び「小」についても、運用後、2年ほどになりますが、「ドロップ」設定には余りしたことがありません。

というのも、「中」のログでも、結構な数になかるらです。重要度「大」のドロップで必要十分かも知れません。

スポンサーリンク: ID6183593457

まとめ

まあ、何が起こるがわからないので、定期的なログの確認は行いましょう。

以上

編集履歴
2020/03/05 追記 WordPressのデータベースが標的になりやすいこと、数年前にUltimate Memberプラグインが標的になったこと。
2020/04/17 追記 定期的なログの確認について

用語の解説、関連タグ付き投稿の抽出

AD-RT2600ac

AD-Synology

ECSHOP

injection

[Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- [2021/08/01]

NAS

[Synology] Wi-Fiルーター RT2600ac/RT6600axをSoftbank Airに接続してワイヤレスAPとして使用する – 次世代ルーターRT6600については少し詳しく解説 – ID40245 [2022/09/29]
[用語] NAS

Post Views: 13 NAS : Network Attached Storage 関連記事: [Synology] 自宅にNASを設置しWordPressを構築 – blogサイトを立ち上げる &# […]

RT2600ac

Threat Prevention

user.php

40033

スポンサー広告

40062

スポンサー広告

【NAS用拡張ユニット】Synology DX517 [5ベイ / SATA対応/Synology DiskStation専用]


Synologyのストアを表示

【【NAS用拡張ユニット】Synology DX517 [5ベイ / SATA対応/Synology DiskStation専用], by Amazon

40037

スポンサー広告

38015 37971

CyberPowerのUSBをSynology NASのUSBに接続すれば無停電電源装置として簡単に認識されます。DSMの管理画面で見ていると接続した瞬間に接続されたことが表示されます。

Mr.はりきりのDS920+とDS1621xs+には、CPJ500 (300W)を一台を接続しています。

スポンサーリンク ID 7130582967

- 以下のツールに敬意を示します -
Support to AMP (Accelerated Mobile Pages) by official AMP plugin for WordPress, and compatible powered by
Post viewing : Flex Posts - Widget and Gutenberg Block