Joomla に新たなゼロデイ脆弱性が存在します。 詳細はCVE-2015-8562に記載されています。
Joomla をすぐに更新することをお勧めしますが、それができない場合やバックエンド サーバーのファイルを変更できない場合は、フロントエンドの NGINX または NGINX Plus で修正を適用できます。
注記: この NGINX 構成を使用して今日サイトにパッチを適用したとしても、できるだけ早く Joomla インストールを更新することを強くお勧めします。
この脆弱性とパッチについては、 Sucuri ブログやArs Technicaなどで読むことができます。
元の攻撃は次の IP アドレスから発生しました。
この攻撃は通常、 User-Agent
ヘッダーを変更することによって実行され、ヘッダー内の次の値によって識別できます。 JDatabaseDriverMysqli
およびO:
(大文字の O の後にコロンが続きます)。
Joomla は、攻撃からの次のサンプル ログ エントリを提供します。
2015年12月12日 16:49:07 clienyhidden.access.logSrc IP: 74.3.XX.XX / CAN / アルバータ
74.3.XX.XX [12/Dec/2015:16:49:40 -0500] GET /contact/ HTTP/1.1 403 5322 http://google.com/ }__test|O:21:x22JDatabaseDriverMysqlix22:3:..{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0:..{}s:21:x22x5C0x5C0x5C0disconnectHandlersx22;a:1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..{s:8:x22sanitizex22;O:20:x22JDatabaseDriverMysqlx22:0:{}s:8:x22feed_urlx22;s:60:..
NGINX 構成のこのスニペットを使用して、元の IP アドレスと、 User-Agent
ヘッダーにO:
またはJDatabaseDriverMysqli
が含まれるすべてのリクエストをブロックします。 追加の IP アドレスをブロックするには、2 番目のマップ
ブロックのリストにそれらを追加します。
http { マップ $http_user_agent $blocked_ua {
~(?i)O: 1;
~(?i)JDatabaseDriverMysql 1;
デフォルト 0;
}
map $remote_addr $blocked_ip {
74.3.170.33 1;
146.0.72.83 1;
194.28.174.106 1;
デフォルト 0;
}
server {
listen 80;
if ($blocked_ua) { return 403; }
if ($blocked_ip) { return 403; }
# ...
}
}
サイトへのアクセス制限の詳細については、 NGINX Plus 管理者ガイドを参照してください。
あなたの体験を以下のコメント欄に投稿してください。
「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"