PEAK XOOPS - Protector V3 
すっかり更新をさぼっていたProtectorですが、ようやくV3が形になりました。
メジャーバージョンが上がっていることからも判ると思いますが、今回は比較的大きな変更を伴っています。
一番大きいのが、XOOPS_TRUST_PATH側に本体を移したことです。このおかげで、セキュリティモジュールを冠しながら、公開側にロジックがデンと置いてある状況、.htaccessなどが効かなかったらPathDisclosureになるかもしれない、という不安から解消されました。
その代わり、mainfile.php に挿入する2行のinclude文が、ROOT_PATHからTRUST_PATHに変更されてます。2.57等からのアップグレードを行う場合、いったんmainfile.phpから削除して、モジュールアップデート後に挿入し直してください。
次に大きいのが、拒否IPの取り扱い変更です。今までは、XOOPS本体の拒否IP機能を利用していましたが、それだとどうしても復旧が大変です。レスキュー画面も使いやすくありませんでした。というわけで、単なるファイルに変更してます。もし自分自身が拒否されても、FTP等でそのファイルを消すだけです。(どのファイルかは、Protectorの管理画面に表示されていますので、事前にチェックしておいてください)
この変更のおかげで、拒否IPの判断にDBが不要となり、DoS系の攻撃にも比較的強くなったと思います。実際、DBコネクション発生の前に拒否できているので、かなり高速に処理が完了します。(もちろん、.htaccessの足下にも及びませんが)
あとは、ここで議論したXSS対策をいれてみました。BigUmbrellaのサブセット版です。副作用や速度的な影響がないように調整したため、POSTなどはノーチェックですが、それでもかなりマシになるとは思います。
http://xoops.peak.ne.jp/md/news/index.php?page=article&storyid=126
もう一つ、XUGJで思いついたグループ1だけのIP制限。結構、いけそうな気がしたので、採用してます。これまた1ファイルに記述されているだけなので、いきなりIPが変わって自分自身がログインできなくなっても、FTP等でそのファイルを消せば復活できます。
最後にSPAM対策。nao-ponさんの「URIの数をカウントする」という方法に感動し、さっそく取り込んでみました。Protectorでは、単純にURIの記述数、という相当にシンプルな形にしてます。このサイトではゲスト投稿を許可していないので効果の程はわかりませんが、運用してみた結果をお知らせいただければ幸いです。
元ネタ:
http://xoops.hypweb.net/wiki/5589.html
同じSPAM対策として、RBLフィルターや英語のみの投稿拒否、なんてプラグインも実装してたりします。
あ、そうそう。忘れちゃいけない。XOOPS Cube 2.1 Legacy RC での動作確認もしてます。
まったく問題なく動いているようです。
- Project Honey Pot (1) (2008-01-08 06:31:56)
- 自動ユーザ登録ボット対策 (2007-08-23 03:57:31)
Comments list
fullに変更したら、おお、バリバリに来てますね。24時間で50個くらい。
それも攻撃してくるIPはてんでバラバラ。
もしかして、コメントSPAMをばらまくウイルスでも流行ってます?
ともあれ、SPAMのレベルだけ低い位置にしたので、ログ記録レベルをquietにしていただくのが堅いかな、と思います。
Quote:
chika3 wrotes:
ログを確認したところ、
POST /user.php - 400
POST /modules/weblog/details.php - 400
このサイトで圧倒的に多いのは、/modules/d3forum/index.php です。
ゲストにはフォームも表示されていないはずですが、ゲスト投稿を許可しているサイトで、このREQUEST_URIを学習してきたかな?
Quote:
で、Protectorのログに残る
SPAM POINT: 82
とかの最後の数字って何を示しているのでしょうか?
閾値を測るのに使えるかな、と。
ログを確認したところ、
POST /user.php - 400
POST /modules/weblog/details.php - 400
あたりがほとんどでした。トップページとか経由せずに直接やってきているようです。
で、Protectorのログに残る
SPAM POINT: 82
とかの最後の数字って何を示しているのでしょうか?
nobunobu wrotes:
2日間弱で1200件ログたまりました・・・・
(1ヶ月放っておくと20000件弱って事ですね^^;)
ブログはブログで別途ブロックしていたものもこちらが先に検知しますからね・・・・
うちなんて、V3にしてからもSPAMのログは0ですよ。
もちろん、contamiとかの攻撃はいつも通り来てます。
やっぱりwordpressがSPAM攻撃対象としてメジャーだからでしょうか。
1日600件あったら自動削除が欲しくなりますねえ。
とりあえず、SPAMのログレベルは確か低く設定してあるので、quietかQuietで記録そのものがされないと思いますが、それじゃ駄目でしょうか。
Quote:
ってことで、自動無理なら、ログ画面で種別による絞込みフィルタ希望です
種別絞り込みも、何かのついでに作っておきます。
GIJOE wrotes:
ついにYYBBSもターゲットですか。
結構怖いですね。
爆撃可能な小賢いツールでもできたのでしょうね・・・
Quote:
とりあえず、表示件数を最大にして、エイヤっと消してください、ってことで。
2日間弱で1200件ログたまりました・・・・
(1ヶ月放っておくと20000件弱って事ですね^^;)
ブログはブログで別途ブロックしていたものもこちらが先に検知しますからね・・・・
(おかげでSPAM削除通知メールが来なくなりました)
ってことで、自動無理なら、ログ画面で種別による絞込みフィルタ希望です
結構怖いですね。
Quote:
nobunobu wrotes:
ログの期間指定による自動削除機能が欲しくなります。^^;
とりあえず、表示件数を最大にして、エイヤっと消してください、ってことで。
・拒否IPのDB非依存
そして
・URL SPAMブロック
と新機能満載のV3リリースありがとうございます。
今日になって、小生のサイトのYYBBSにスパムがバルクでやってきたので、
早速アップデートさせてもらいました。
モジュールアップデートもばっちりで・・・・
導入後1時間少しですでに50件のSPAMブロックがログに・・・
ログの期間指定による自動削除機能が欲しくなります。^^;
Congratulations on the new version of Protector. I was starting to wonder when you would take advantage of the xoops_trust_path strategy. ;-)
I will update tomorrow and let you know if I find any sort of bug.
Once agaiin, congrats and many thanks for your hard work.
Warm regards from M
ちなみに、オリジナルのアイデアはnao-ponさんですので、名古屋の方にも一礼しておいてください
ああ、そうですよね、しかし、どこでいったらいいものかと、ふかぶかと名古屋におじぎを・・・
2.57からのアップデートですが、さっそく入れてみました。
管理者グループのIPフィルタも問題なく動いています。
Xoopsバージョンは、2.0.16a JPです。
このたびのアップデート、本当にありがとうございました。
ますます絶対に手放せないモジュールになりそうです。
そのあたりの実績がないもので、効果が良く判っていませんでした。
ちなみに、オリジナルのアイデアはnao-ponさんですので、名古屋の方にも一礼しておいてください
ともあれ、報告ありがとうございました。