マルウェアを知ると、攻撃者が知りたいコトが見えてきます。 攻撃者からの視点でセキュリティを学んでみましょう。

1. マルウェアに学ぶ
Apache + PHP セキュリティ
(公開版)

2. 自己紹介
• @yugo_tak
• KLab株式会社
• KLabの前はWeb開発
• 好きな言語はPHPとJavaです。
• 最近はPHPの独自フレームワーク作ったり
jMeterのプラグインを作ったり、Arduinoなん
かで遊んでます

3. セキュリティの話をします

4. SQLインジェクション、XSS、CSRF対策などなど‥
〃∩ ∧__∧
⊂⌒ (・ω・ ) 色々たいへんだおー
｀ヽ_つ_～つ

5. 今回はそういった教科書的なお話ではなく

6. マルウェア、つまり攻撃者側から
の視点でセキュリティを学んでみ
ましょう

7. 今回はApacheとPHPで動いているWeb
アプリケーションをターゲットとした
実際にあるマルウェアをご紹介します

8. 早速、マルウェアが動いている
画面をみてみましょう

9. 実際のマルウェアの画面
攻撃する際には、脆弱性のあるファイルアップロード機能等を経由して
不正にこのマルウェアファイル（数行のPHP1ファイルのみ）をアップロードします

10. 実際のマルウェアの画面
ファイル閲覧&編集

11. 実際のマルウェアの画面
サーバー情報閲覧

12. 実際のマルウェアの画面
SQL実行
その他、コマンド実行やネットワーク情報取得などなど‥

13. (́・ω・)ω・`)ヒー
/⌒ つ⊂⌒ ヽ怖いよー

14. こうなる前に
Apache + PHPなWEBアプリケーションの
セキュリティ再入門！

15. 設定ファイルを見直すだけでも
セキュアにできる

16. PHP編

17. PHP
register_globals
問答無用でOff!
(PHP 4.2.0からはデフォルトでOff)

18. PHP
allow_url_fopen
外部ファイルの読み込みを禁止
open_basedir
内部ファイルのアクセスを制限

19. PHP
session.referer_check
なりすまし防止
※ただし、リファラーは改変できることをお忘れなく
session_save_path
セッションのファイル保存場所の変更
デフォルトでは/tmpに保存される

20. PHP
disable_functions
危険な関数を使えないようにしておく
apache_*のapache統合関数系
execなどのコマンド実行系など
enable_dl
拡張モジュールを使用できなくする

21. PHP
コレ！
さきほどのマルウェア

22. Apache編

23. Apache
mod_proxy
アクセス制御の統一
アプリサーバーの分離
ネットワークトポロジの隠蔽
ログの統一

24. Apache
mod_security
WAF(Webアプリケーションファイアウォール)

25. Apache
mod_evasive
Timeout値を短くする
DoS/DDoS対策

26. Apache
chrootでjail環境
万が一侵入されても被害を限定する

27. Apache
不必要なモジュールを読み込まない
パフォーマンスも向上！

28. Apache
ServerSignatureをOff
ServerTokensをProduct Only
サーバー情報を最小限に
でも完全にサーバー情報を隠蔽することは難しい(httprint)
気休めにすぎない‥？

29. 最後にもうひとつの事例を紹介
• Apache Slapper Worm
OpenSSLの脆弱性をついてApacheが動いているサーバーに侵入
http://www.cert.org/historical/advisories/CA-2002-27.cfm
Apache Slapper WormはhttpレスポンスのServerヘッダーフィールド
からサーバーの種類、バージョン番号を取得して脆弱なサーバーに攻撃
をしかけていた

30. ささいなこと、気休めと思えることでも
出来ることはやっておこう！

31. ありがとうございました