最近、でもないですがかなり安価なVPSサーバーが
増えています
岡田でもこのVPSサーバーを利用しておりますが
自由度が高く便利なのですが安全面が気になります

セキュリティーを考えてModSecurity(WAF)を使用して
いますがそのまま利用するとブログに画像がアップロード
できない 記事が更新できないなどの問題がでます

WordPressを利用できるようにとチャレンジしてみましたが
徐々にセキュリティーを甘くしていくという方法では
正常に動作するころには(長いHTMLを公開できる)XSSも遮断
出来なくなってしまいかなりの知識がないと難しい

WAFを利用していないサイトがかなりあるのに神経質になる
必要はないのでは WAFを無効にしてしまおうか　で　実際に
調べてみました

独立行政法人情報処理推進機構(IPA)で提供されている
iLogScannerにてokadakisho.comのアクセスログを解析してみました
最新のログでは情報が少ないので１つ前のログ(約15M)

28件のクロスサイトスクリプティング(XSS)の試みが発見されました

iLogScannerではログから以下の攻撃を調べることができるようです
■SQLインジェクション
■OSコマンド・インジェクション
■ディレクトリ・トラバーサル
■クロスサイト・スクリプティング
■その他（IDS回避を目的とした攻撃）
（注）IDS：侵入検知システム（Intrusion Detection System）
■同一IPアドレスからの攻撃の可能性
■アクセスログに記録されないインジェクションの可能性
■ウェブサーバの設定不備を狙った攻撃の可能性

その他は全て[0]でしたが「いたずら」「本気」は別として１つ
ログで28件も発見されては[OFF]にすることはできません

動作確認はしておりますがお客様が入力する全てのパターンを
テストすることは難しく、また確認漏れもあるかもしれません
操作中(お問合わせフォーム含む)に403のエラーがでましたら
ご一報ください

ちなみにブログ(WordPress)で使用しているサーバーは
Netowlさんのminibird(非常に快適)でVPSではありません

VPSはメモリーが気になりますが、悲しいかなokadakisho.com
では512Mのメモリーの内 約20%しか使用していません
(1Gや2Gのサーバーに移転しても表示は早くならない)

メールへの不正アクセスも多く架空のアカウントにログイン
しようとして毎日いくつかのIPが遮断されています

昨日記念品館(okadakisho.net)において問合わせを
したが回答がないと電話でご連絡いただきました
調べてみたところメールの送受信が出来ない状態と
なっておりました
お問合わせなどはメールキューに残っておりました
ので確認ができましたがご購入はできなかったもの
と思われます

大変ご迷惑をおかけしましたことお詫びいたします

別館でも同様のトラブルがあり、その際他のサイトも
再度点検し5月のある時期までは順調でした
本店以外は迷惑メールが少なかったのですが記念品館で
迷惑メールが増えてきましたのでそれを弾く為の設定を
したところミスがあったようです

先日購入したソフトにメールアドレスをマスク化する
機能がついておりましたのでアドレスを変更して
マスク化しアドレス収集ロボットなどの対応すると
ともに定期的に確認するようにいたします

先日(4/22)岡田徽章本店のアクセス不可について

現在、岡田徽章で使用しておりますショッピングカート
はphpで動作するものも含んでおりそれの大量のエラー
ログとアタックが原因でした

エラーログとは自動で記録するサーバー内のエラー記録
で本来はあまり大きくなるファイルではありません
phpのバージョンアップに対応する為、深刻な問題以外
のエラーも表示させるように設定しエラー箇所を修正
しておりましたが、グズグズ修正しているうちにphpの
エラーが大量に書き出されサーバースペースを圧迫し
接続が困難となりました
(一データが何十メガとなり5データ保存される)

エラーログの確認もできないので古いデータを全て削除
し最新のデータをダウンロードし確認しようとしたのですが
今度はデータが重い為ダウンロードに異常に時間がかかり
ヤキモキしました

アタックは簡単なもので、ありもしないフォルダを入力する
というものが主でアタックの前兆みたいなものですが
これも大量にログに記録が残っています　例で書きますと
okadakisho.com/admin などとアクセスしてくる
該当のフォルダはないのでエラーとして記録される
もうひとつはdovecotというプログラムを通じての不正アクセス

同じことが再発しないように毎朝のログのチェックとswatch
というプログラムをインストールし監視をすることにしました
swatchは監視をし不正アクセスと判断すると該当のIPからの
アクセスを一定時間遮断します
これも設定した翌朝には遮断したIPがメールで届きました

VPSや専用サーバーまた自社サーバーでの運営は今までも
してきましたが不正アクセスの数が増えているような気が
します　普及により不正アクセスを試みる人口の「裾野が
広がった」としか思えない出来事です

会員ページにログインできないとご連絡を
いただきすぐに修正しましたが今度は会員ページ
で買い物ができないというエラーがありました
大変ご迷惑をお掛けしました　直ちに修正いたしました

これから徐々に更新・調整をしていきますが
サーバーのエラーログを見ると同一のエラーが
(4種類)ログに記録されていました
そのひとつがModsecurityによるエラーですが
対処した方法を記録しておきます

エラーログ
ModSecurity: Warning. Operator LT matched 20 at～
/base_rules/modsecurity_crs_60_correlation.conf”]～[line "31"]

かなり削ってますがmodsecurity_crs_60_correlation.confという
ファイルの31行目がエラーの対象
色々調べましたがなかなか解決策が見つからず
とりあえず該当箇所をコメントアウトして様子を見ることに

具体的には
modsecurity_crs_60_correlation.confの30行目～32行目までを
コメントアウト
膨大なエラーログが少し小さくなり安心しました

新館で使用していますショッピングカートは商品の詳細の記入
にHTMLタグを使用しているせいで新規登録・更新ができない
状態でしたので以下のようにしました
現在Modsecurityの影響でphpmyadminも正常に動作しませんが
同様の方法でいけるかもしれません(WordPressにも有効かも)

まず初めに管理画面フォルダ(adminなど)に.htaccess
を置き(すでにある場合は追加)以下を記載

Order allow,deny
Allow from ipアドレス

固定IPでない場合はAllow from 123.45.678.0/24と記載
これによりアクセスできるIPを限定もしくは絞ります
複数利用の場合は
Order allow,deny
Allow from ipアドレス1
Allow from ipアドレス2
Allow from ipアドレス3　と記載します

限定もしくは絞った上で該当のフォルダ以下のセキュリティー
を無効にします

具体的には
# vi /etc/httpd/conf.d/mod_security.conf

最終行に以下を追加します

<Directory /home/*****/public_html/該当のディレクトリ>
SecRuleEngine Off
</Directory>

アパッチを再起動すると上記記述が読み込まれ上記
「該当のディレクトリ」に記載されたフォルダ以下で
無効になります

使用方法にもよりますがWordPressもアドミン以下
を無効にすることで記事の更新に支障をきたさなく
なると思われます
(phpmyadmin/WordPressともテストしいません)

本日okadakisho.com(本店)のサーバーを移転しました
暫くの間お見苦しいところも多々あると思いますが
何卒よろしくお願いいたします

セキュリティー面では
SSL暗号化通信　ベリサインサーバー証明書
ポートスキャン対策 PortSentry
XSS対策 Mod_security

出来るだけ快適にご覧いただけるように
PHPの高速化やgoogoleが開発したmod_pagespeed
などを入れてあります

サーバーは「さくらのVPS」(20G 512M)を利用
しております

少し落ち着きましたらチェックいたしますが
「購入できない」「エラーがでる」などございましたら
メール・お電話などでご一報ください

今後とも岡田徽章をお引き立てくださいますよう
よろしくお願い申し上げます

一昨日御客様からのご指摘により発見されました
プログラムの不具合。事実が確認できませんでした
ので一時的に停止しておりましたが本日詳細が確認
できました

ごく限られた操作によるものですが他のお客様の
お名前・住所・電話番号が表示されるという重大
な問題がありました

5名の方の個人情報が漏えいしておりました

テストしてもなかなか見つからなかった原因
——————————————-
新館プログラムは会員登録して購入と会員登録
しないで購入とお客様がどちらか選択してご購入
いただけます
このうちのゲスト購入(会員登録しないで購入)を
選択しお名前・お届け先の入力などを完了し次の
画面に遷移した際表示される「アドレスの変更」を
クリックすると他のお客様の情報が表示されてしまう

会員登録をすれば当然　お届け先の変更が必要な
場合がありますがゲスト購入はその都度ご住所を
入力するわけで　まずアドレスの変更はいたしません
(住所の入力直後にアドレスの変更をすることになります)

想定外の行動なのでチェックがなされていませんでした
——————————————-

5名のお客様には報告・謝罪・被害の確認をいたします
情報漏洩が確認できなかった御客様にはとくにご連絡
はいたしませんのでご了承ください

緊急であると報告をいただきながら確認・ご報告が
遅くなりましたことも重ねてお詫び申し上げます

ゲスト購入の停止という方法で対処いたしました

先ほど他で同じプログラムのゲスト購入を利用なさって
いるショップ様のページ(偶然見つけた)で同じ操作
をしてみましたがやはり同様に他のお客様の情報が
表示されました
OSCOMMERCEをご利用でゲスト購入機能をご利用の
ショップ様　緊急に対応する必要がありますので
サイトをご確認ください

先日書きましたようにサーバーへのインストールは
正常なのにIEで警告が表示される
証明書を購入したレンタルサーバーさんにお問合わせ
をし解決にいたりました

結局はクライアント側(岡田徽章側パソコン)の設定
でそうなっていたようです
ではなぜXPは正常に表示されるのにVISTAでは警告が
でるのか

XPまでは予めCA証明書がインストールされている
Windows Vista/Windows Server 2008からは必要に応じて
Windows Updateでインストールするそうです

この機能(Cryptographic Service)が停止していると
信頼されたルート証明機関に登録されず、結果警告画面
がでるということです

今朝確認したところ「停止」＆「手動」になっていました

パソコンを購入すると不要なプログラムの停止を行う
場合が多くパソコン購入当初からそうなのか自身で停止
したのかは不明です
参考サイト

「開始」「自動」に設定しましたらとくにWindows Update
をする様子もなく通常に接続できました

レンタルサーバーの方には大変お手数をおかけしました

そんなことより卒業記念品などをご紹介しなくては
いけないのですが・・・・・・・・・

先日 記念品館の移転を行いました
動作確認などしていて気がついたのですが
VISTA+IE8 で確認すると警告画面が表示されて
しまいます
(岡田の環境だけかもしれませんが)
証明書エラーをみると
「このwebサイトで提示されたセキュリティ証明書は信頼された
証明機関から発行されたものではありません

ユーザーを騙そうとしているか、サーバーに送信されたデータを
傍受しようとしている可能性があります」

ただごとならぬ内容です
弊社ではほとんどのパソコンがXP環境で、XPでの
閲覧は問題がありません

購入先などに連絡しましたがインストールは正常なようで
原因がわからずジオトラストさんの証明書なので公式
ページを見れば答えがあるだろうと見ましたが不明

それなら問合わせをしようと思い「お問合わせフォーム」
をクリック　そこでビックリ!

公式ページでも同様のエラー表示 証明機関のSSL通信で
「信頼された証明機関から発行されたものではありません」
弊社VISTA環境が異常なのか

もう諦めるしかありません もう少しチャレンジして改善
できなければ他の証明書を再取得いたします

同じようにエラー表示されてしまう御客さま大変申し訳ありません
エラー表示はされますがサイトは安心してご利用いただけます
エラーは.NET　だけで.COM(本店)や.BIZほか他のサイトは正常です

phpなどで画面が真っ白 何も表示されない時どうしますか？

「どうしていいか分からない」
「真っ白 で検索してみる」

色々考え対処なさると思います　原因が分かれば
非常に簡単なことも「真っ白」では原因を探すのも
大変

文字化けの場合もありますしプログラムのエラーの
場合もあります

以前のお話ですがHPタイトルを○○の岡田徽章とすると
画面が真っ白　調べてみると徽章という漢字で文字化け
タイトルの末尾を漢字ではなく半角英数にすると良いとの
こと そこでYAHOOさんにならい「!」をいれることに
トロフィーの岡田徽章! とすると文字化けがなくなりました

プログラムのエラーの場合は原因も分からずあちこちを
見てインストールし直すという非常に時間のかかる方法を
取りがちですが php.ini が変更できる場合は下記を確認し
変更してみてください

error_reporting = E_ALL　がコメント解除されているか
display_errors = Off になっていないか
error_reporting = E_ALL　になっていてもdisplay_errors = Off
では表示されませんのでdisplay_errors = On　に変更します

真っ白であった画面にエラーの内容が表示され解決の早道に
逆にエラーが表示されて困る場合は
error_reporting = E_ALL　をコメントアウトし
error_reporting = E_ALL & ~E_NOTICE　をコメント解除
display_errors = Off　に戻すとエラーが表示されなくなります
(※エラーが表示されなくなる場合があります)

先日書きましたmodsecurityですがプログラムから購入できないと
誤ったことを書きました modsecurityの設定の問題ではなく
プログラムそのもののエラーでした　modsecurityを設置しても
問題なく動作いたします
誤った情報を記載したこと深くお詫び申し上げます

上記php.ini が編集できない場合は.htaccess でエラーを表示
させるようにします

CMSやショッピングカート、弊社サイトでもPHPプログラム
を多数使用しております
オープンソースのPHPも沢山あり色々なことができ便利
ですが安全性も話題になっています
みなさんも目(耳)にしたことがあると思いますが脆弱性
クロスサイトスクリプティング、SQLインジェクションなど

では modsecurity て何？どんな効果があるの？
例としてフォームなどを利用して悪意のあるスクリプトを
実行することを防ぎます

下記のURLはmodsecurityを設置してあります
テストページ (2010/11/14 テストページは削除しました)

こちらにテキスト入力欄がありますので「OKADA」とか
「YAMADA」とか入力してみてください
「OKADA」と入力してOKを押すと下にOKADAと表示されます
次に<BODY>や<TD>、<BR>などと入力してOKを押してみてください
403のエラーとなり実行できません

ほとんど勉強をしておりませんので稼働中のサイトには
設置しておりませんが(新館でテスト 購入ができない)
いつか稼働中のサイトに設置したいと思っています
※10/12　購入できないのはプログラムのエラーでmodsecurity
の影響ではありませんでした(深くお詫びいたします)

先日の[一発インストールスクリプト]の購入先にmodsecurity
について相談したところ、インストールの案内ページを
作っていただけました
また本来、自宅(自社)サーバー用のスクリプトであったもの
ですがVPS用にわざわざ作っていただけました(書いていいのかな)
MYSQLやPHPMYADMIN 上記modsecurityを含むいわゆる一式の
インストールがわずか30分　深く感謝しております

深夜に問題が発生した時のことを考えレンタルサーバーで
と考えていますが
「サーバースペック・光回線の独占」と考えると後ろ髪を引かれます

※
先日このブログで「セキュリティソフトの設置でシャットアウト
される」と書きましたが誤りで、プログラムの問題ではなく
サーバーからシャットアウトされていました