Joomla에 새로운 제로데이 익스플로잇이 발견되었습니다. 자세한 내용은 CVE-2015-8562 에 설명되어 있습니다.
Joomla를 즉시 업데이트하는 것이 좋지만, 업데이트할 수 없거나 백엔드 서버의 파일을 변경할 수 없는 경우 프런트엔드의 NGINX 또는 NGINX Plus에서 수정 사항을 적용할 수 있습니다.
메모 : 오늘 NGINX 구성으로 사이트에 패치를 적용하더라도, 가능한 한 빨리 Joomla 설치를 업데이트하는 것이 좋습니다.
해당 익스플로잇과 패치에 대한 내용은 Sucuri 블로그 나 Ars Technica 등에서 읽을 수 있습니다.
원래 공격은 다음 IP 주소에서 시작되었습니다.
공격은 일반적으로 User-Agent
헤더를 수정하여 수행되며 헤더 내부의 다음 값으로 식별할 수 있습니다. JDatabaseDriverMysqli
및 O:
(대문자 O 뒤에 콜론).
Joomla는 공격에 대한 샘플 로그 항목을 다음과 같이 제공합니다.
2015년 12월 12일 16:49:07 clienyhidden.access.logSrc IP: 74.3.XX.XX / 캐나다 / 앨버타
74.3.XX.XX [2015년 12월 12일:16:49:40 -0500] GET /연락처/ HTTP/1.1 403 5322 http://google.com/ }__테스트|O:21:x22J데이터베이스드라이버Mysqlix22:3:..{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0:..{}s:21:x22x5C0x5C0x5C0연결해제핸들러x22;a:1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..{s:8:x22sanitizex22;O:20:x22J데이터베이스드라이버Mysqlx22:0:{}s:8:x22feed_urlx22;s:60:..
NGINX 구성의 이 스니펫을 사용하여 원래 IP 주소와 User-Agent
헤더에 O:
또는 JDatabaseDriverMysqli
가 포함된 모든 요청을 차단합니다. 추가 IP 주소를 차단하려면 두 번째 맵
블록의 목록에 해당 주소를 추가하세요.
http { 지도 $http_user_agent $blocked_ua {
~(?i)O: 1;
~(?i)JDatabaseDriverMysql 1;
기본값 0;
}
맵 $원격_주소 $차단_ip {
74.3.170.33 1;
146.0.72.83 1;
194.28.174.106 1;
기본값 0;
}
서버 {
수신 80;
if ($차단_ua) { 반환 403; }
if ($차단_ip) { 반환 403; }
# ...
}
}
사이트 접근 제한에 대한 자세한 내용은 NGINX Plus 관리자 가이드를 참조하세요.
여러분의 경험을 아래의 댓글란에 적어주세요.
"이 블로그 게시물에는 더 이상 사용할 수 없거나 더 이상 지원되지 않는 제품이 참조될 수 있습니다. 사용 가능한 F5 NGINX 제품과 솔루션에 대한 최신 정보를 보려면 NGINX 제품군을 살펴보세요. NGINX는 이제 F5의 일부가 되었습니다. 이전의 모든 NGINX.com 링크는 F5.com의 유사한 NGINX 콘텐츠로 리디렉션됩니다."