Xoops PROTECTOR 種別の意味

XOOPSのセキュリティーモジュール、「プロテクター」。

ログを確認すると様々な種別が表示されているが、なにがどんな意味なのか、

たまーに珍しいのがあったりすると分からない。

しかも、それをいちいち探すのも面倒なので、ここに記載しておきます。

きっと同じような人、いるでしょ?^^;

 

CONTAMI システムグローバル変数汚染関連の攻撃が検出されています。誤認はほとんどないので、なんらかの自動攻撃を受けたケースがほとんどでしょう。ログに記録されている以上、逆に心配は無用です。
CRAWLER クローラー(メール収集ボットなど)として認識されています。頻繁に来るようであれば、IPアドレスを逆引きして、悪意あるアクセスだと判断できたら、.htaccessなどで禁止してしまうのも良いでしょう。
xmlrpc xmlrpc.phpへのアクセスがあった場合に記録されます。なんらかのXMLRPCクライアントを利用してうまく動作しない時には、このログを確認します。
UPLOAD 攻撃と誤認の両方の可能性があります。
例:アップロードするファイルに拡張子が2つ以上ある場合(ほぼ誤認だが攻撃の可能性もなくはない)
Attempt to multiple dot file hogehoge.thumb.jpg.
例:アップロードされたファイルの拡張子と中身が一致しない場合(拡張子がgifなのに、中身はHTMLなど。攻撃の可能性が大)
Attempt to upload camouflaged image file xxxx.bmp.
例:特定の拡張子がアップロードされた場合(拡張子がphpなど。対象がpukiwikiModであれば誤認がほとんど)
Attempt to upload xxxx.php.
なおいずれの場合も、アップロード時には真っ白状態になります
最後のケースは、Protector一般設定の「実行可能ファイルアップロードによる強制終了」が「はい」になっている時にだけ発生します。pukiwikiModなどを利用している場合は、ここを「いいえ」にする必要があるでしょう。
BRUTE FORCE 短時間に複数回のログイン。単純にパスワードが忘れてしまい短時間に当てずっぽうで入力して引っかかる場合が多いようです。
例:ログインID: xxxx でのログインがあった場合
Trying to login as ‘xxxx’ found.
DoS 短時間に同一ページへのアクセスがあった場合(意図的でなければ、DoS攻撃とみなす時間を伸ばすか、チャットモジュールなどであればそのモジュールを対象外にします)
NullByte ヌルバイト攻撃があった場合に記録されます。ブラウザによる差が多く、意外と誤認もあります。誤認であったとしても、副作用もほとんどないので、気にしなくても大丈夫です。
Injecting Null-byte ‘ ‘ found.
CRITERIA コアバージョン2.0.14JP(本家版は2.0.13.2)以前に存在するcriteria.phpの脆弱性を利用した攻撃とおぼしきアクセスパターンがあった場合に記録されます。コアバージョンが最新であれば気にすることはありません。
ISOCOM SQLインジェクションに良く使われる文字列が入ったアクセスパターンを検知しています。非常に誤認が多いので、一般設定での「孤立コメントのチェック」は「なし」にした方が良いかもしれません。投稿文の最後に*/ が入った場合、これが検知されています。
URI SPAM URI記述数が許可数以上でSPAMだと見なされたアクセスです。(すでに投稿拒否されてます)。そのURI数も表示されています。
RBL SPAM フィルタープラグインpostcommon_post_deny_by_rbl.phpによって拒否された投稿(POSTアクション)です。詳細部には、どのブラックリストに載っているかが書いてあります。
Singlebyte SPAM フィルタープラグインpostcommon_post_need_multibyte.phpによって拒否された英数記号のみの投稿(POSTアクション)です。詳細部にはどういう文章を投稿しようとしたのかが表示されています。
SQL Injection DBレイヤートラップanti-SQL-Injectionシステムによって検出された、SQL Injectionとおぼしきクエリです。誤検出された場合は、その詳細を作者にレポートしてください。

XUGJ Wikiより引用させていただきました。

 

Follow me!

コメントを残す