Q&A
回答ありがとうございます。Forbiddenってアクセス者に対して「君はこのリソースにアクセスする権利がないよ」という情報を返すものと理解しているのですが、これは裏を返すとファイルの存在を否定していない状態だと思っています。明示的にファイルの存在を否定する404 Not Foundと比べて403を返すメリットはどのようなものがあるのでしょうか?
403を返す場合は、ファイルが存在する可能性を示唆してしまって、余計に攻撃を助長するようなことになるのではないかと思っていました。
前提
初めてVPSを借りてWebアプリを公開しました。VPSはConoHaで借りています。個人の趣味でやっている程度のもので商用ではありません。(いずれは稼ぎたい)
WebサーバにNginXを使っているのですが、NginXを起動した初っ端からひたすらに攻撃と思われるリクエストが続いています。PHPの辞書攻撃と言うんですかね、1.phpとか、admin.phpといったよくある(?)URLへのアクセスが1日数百件の単位で来てます。
教えてほしいこと
- VPSでWebサーバを動作させた時に速攻で攻撃を受けるのって普通のことですか?
それとも運が悪い?IPアドレスの前使用者がセキュリティ甘い運用してたとか?
- そのうち収まるものですか?もっとひどくなるものですか?
ちゃんと設定してればそのうち来なくなるとか、セキュリティが甘いと悪化するとか、条件付きの回答や実体験、感覚でも結構ですので教えてください。
- 「攻撃来るなんて当たり前」ということでしたら、皆さんはどう対応してますか?
常識的にWAF使うでしょ?とか、やられている訳ではないので無視!とか、皆さんの対応を教えてください。(ConoHaのVPSはWAF有料なんすよね...)
回答2件
0
VPSでWebサーバを動作させた時に速攻で攻撃を受けるのって普通のことですか?
それとも運が悪い?IPアドレスの前使用者がセキュリティ甘い運用してたとか?
「攻撃」というより、攻撃の踏み台に使えそうなサーバがないか探し回っている人々のアクセスです (手動ではなくプログラムで自動化していると思いますが)。サーバを起動した途端にアクセスしてきたわけではないです。常にアドレスブロック全体を巡回してアクセスを試みています。
個人的には、1日100アクセスくらいならあってもおかしくないと感じます。
そのうち収まるものですか?もっとひどくなるものですか?
ちゃんと設定してればそのうち来なくなるとか、セキュリティが甘いと悪化するとか、条件付きの回答や実体験、感覚でも結構ですので教えてください。
一度でも侵入を許せば、たちまちその手のアクセスが増え、最低でも1-数ヶ月はおさまりません。彼らも情報交換し合っているんでしょう。
「攻撃来るなんて当たり前」ということでしたら、皆さんはどう対応してますか?
常識的にWAF使うでしょ?とか、やられている訳ではないので無視!とか、皆さんの対応を教えてください。(ConoHaのVPSはWAF有料なんすよね...)
日頃から、安全でないサービスをインターネットにさらさないように注意することが大事です。高度なWAFなどに頼らなくても、そういう対策はできます。
-
接続許可ポートの設定はできるはずですから、実際に使用するサービスのポート以外は許可せず、必要になった時点で初めて許可するようにすべきです。
例: nginxってSMTPやIMAP4のプロキシの機能も持っているんですが、何かの間違いでついうっかりその機能を有効にする設定をしてしまったとしても、SMTPやIMAP4のポートへの接続を許可していなければ、不正利用されてしまうことはありませんよね。 -
インストール直後のウェブアプリケーションは自分の手元のPCのIPアドレスからしかアクセスできないようあらかじめHTTPサーバでアクセス制限しておき、安全な設定をしたと確信が持ててからアクセスを開放する、といった配慮が必要です。
例: いくつかのウェブアプリケーションでは管理者パスワードの初期値が決まっていて、インストール直後ならログインページにアクセスしてそのパスワードを入力すれば全ての設定を変更できます。つまり、外部からのアクセスができればサービスを乗っ取れます (admin.phpへのアクセスは、いかにもそれを狙っていそうですね)。
投稿2018/11/02 12:41
総合スコア4443
0
ベストアンサー
VPSでWebサーバを動作させた時に速攻で攻撃を受けるのって普通のことですか?
それとも運が悪い?IPアドレスの前使用者がセキュリティ甘い運用してたとか?
どちらかと言えば運が悪いほうかとは思いますが、よくある事でもあります。
そのうち収まるものですか?もっとひどくなるものですか?
勝手には収まってはくれない事が多いので、
IP直打とか管理していない名前でのアクセスはforbiddenを出すとか、
怪しいアクセスがあったら、ログを解析して自動的にファイアウォールに登録するようにするなどすると無視できるくらいの影響に抑えることが出来るケースが多かったです。
ConoHaを使ったことが無いので的外れだと申し訳ありませんが、VPSなら自力でWAFを入れるのも有効な手段ですね。
投稿2018/11/02 11:09
総合スコア18778
> これは裏を返すとファイルの存在を否定していない状態だと思っています。
どちらかと言うと、ドキュメントルート以下全てに対して「君はこのリソースにアクセスする権利がないよ」と返すという意図です。
大事なのはURL単位ではなく「想定しないホスト名(ここではIPアドレス)でのアクセス全てを弾く」という状態であることだと考えています。
理由としては、攻撃する側も個別の事情としてはリソースは有限であり、ある程度硬そうな相手に対してはさっさと諦めて次に行く方が効率的なはずだと推測しているからです。
サイト単位での403やDigest認証)であれば「明示的に対処しているんだよ」という事を認識させることでさっさと諦めてくれる(&攻撃してもあまり意味のないIPリストへ登録されると)と嬉しいなあ・・・と。
(そういった意味では404でも403でも効果はそんなに変わらないと考えています。)
ありがとうございました。
攻撃されること自体は珍しいケースでも無いようなので、まず暫くは静観しようと思います。
今以上にアクセスが鬱陶しく感じるようになったら、
①IPアドレスアクセスなどをForbiddenしてみる
②Firewallへの自動登録の仕組みを実装してみる
③ホスト型WAFを入れてみる
④VPS運営側が提供するWAFを入れてみる
を段階的にやって様子を見ていこうと思います。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。