またepgrecを狙った攻撃がありました

2015年4月9日 1 投稿者: khws4v1

epgrecを狙った攻撃があったことは前にもありましたが、今回はちょっと違う攻撃がありました。

まずは前回のアクセスログです。
403になってるのはUAがnmapだと強制的にアクセス拒否してるからです。(あまり意味はない)

そして今回のアクセスログです。

アクセスする場所もUAも異なります。
適当に「nmap蹴ったら来なくなったwwwwwwwwwちwwwょwwwろwwwいwww」と調子に乗ってる人は注意です。

 

対策

録画システムを外部に公開しないのが1番のおすすめです。
なぜなら録画した番組は自分しか見る必要がなく、ウェブサイトみたいに外部に公開する必要性が無いからです。
もし、外部からアクセスしたい場合はVPNを経由させればいいでしょう。

どうしても公開したままにしておきたいなら国外IPからのアクセスを拒否しておくのをおすすめします。
いくら外部からアクセスするといっても海外からアクセスすることは無いという人が多いでしょう。

現在epgrecの脆弱性を狙っているハッカーは海外在住なので、日本のVPNやプロクシサーバを経由させたりしなければアクセスできません。

通常のウェブサイトでこれをやると、Googleの検索結果に載らないといった副作用がありますが、録画システムでは関係ないことかと思います。

国外IPからのアクセスを拒否する方法ですが、「フリーCGI 無料ショッピングカート CGI’s」というサイトの「日本国外からのアクセスを制限する.htaccess」にて.htaccessを自動で生成してくれます。
これを適当なディレクトリに配置しておけば国外IPからのアクセスを拒否できます。

意味のない対策

バーチャルホストでepgrecの部分だけドメインを変えようとか、IPアドレスやドメイン名を秘密にしておけばいいとか、そういったことは全く意味がありません。
なぜならこういった誰も見に来ない過疎ウェブサイトに対しても攻撃を行っており、対象のIPアドレスを機械的に選んでいる可能性が高いです。

遊び

前回はファイアウォールで遮断しましたが、IPはたまに変わるので申し訳程度の効き目しかありません。

もしかしたらハッカーは正常にアクセスできた場合に限り、GETしたページを見ているかもしれません。
ということでepgrecのファイルがおいてあるはずの場所に遊びでファイルを置いておくことにしました。

置くファイル

/imgにyou_are_an_idiot.gifを置きました。

/epgrec/templates/envSetting.html
/templates/envSetting.html
/epgrec_old/templates/envSetting.html
/tv/templates/envSetting.html
/rec/templates/envSetting.html
/epg/templates/envSetting.html
/epgrec_STZ/templates/envSetting.html

にhtmlファイルを置き、以下の通りにしました。
混乱させるためにコメントとして本物のepgrecのenvSettings.htmlを置いています。

アクセスするとこのように見えます。

範囲を選択_005

(日本語訳)

バーーーーーカ

アニメが見たいのか?

簡単さ、アニメを買えばいい。
好きなだけ見れるぞ!