サーバー・プログラム Archive

会員ページにログインできないとご連絡を
いただきすぐに修正しましたが今度は会員ページ
で買い物ができないというエラーがありました
大変ご迷惑をお掛けしました　直ちに修正いたしました

これから徐々に更新・調整をしていきますが
サーバーのエラーログを見ると同一のエラーが
(4種類)ログに記録されていました
そのひとつがModsecurityによるエラーですが
対処した方法を記録しておきます

エラーログ
ModSecurity: Warning. Operator LT matched 20 at～
/base_rules/modsecurity_crs_60_correlation.conf”]～[line "31"]

かなり削ってますがmodsecurity_crs_60_correlation.confという
ファイルの31行目がエラーの対象
色々調べましたがなかなか解決策が見つからず
とりあえず該当箇所をコメントアウトして様子を見ることに

具体的には
modsecurity_crs_60_correlation.confの30行目～32行目までを
コメントアウト
膨大なエラーログが少し小さくなり安心しました

新館で使用していますショッピングカートは商品の詳細の記入
にHTMLタグを使用しているせいで新規登録・更新ができない
状態でしたので以下のようにしました
現在Modsecurityの影響でphpmyadminも正常に動作しませんが
同様の方法でいけるかもしれません(WordPressにも有効かも)

まず初めに管理画面フォルダ(adminなど)に.htaccess
を置き(すでにある場合は追加)以下を記載

Order allow,deny
Allow from ipアドレス

固定IPでない場合はAllow from 123.45.678.0/24と記載
これによりアクセスできるIPを限定もしくは絞ります
複数利用の場合は
Order allow,deny
Allow from ipアドレス1
Allow from ipアドレス2
Allow from ipアドレス3　と記載します

限定もしくは絞った上で該当のフォルダ以下のセキュリティー
を無効にします

具体的には
# vi /etc/httpd/conf.d/mod_security.conf

最終行に以下を追加します

<Directory /home/*****/public_html/該当のディレクトリ>
SecRuleEngine Off
</Directory>

アパッチを再起動すると上記記述が読み込まれ上記
「該当のディレクトリ」に記載されたフォルダ以下で
無効になります

使用方法にもよりますがWordPressもアドミン以下
を無効にすることで記事の更新に支障をきたさなく
なると思われます
(phpmyadmin/WordPressともテストしいません)

本日okadakisho.com(本店)のサーバーを移転しました
暫くの間お見苦しいところも多々あると思いますが
何卒よろしくお願いいたします

セキュリティー面では
SSL暗号化通信　ベリサインサーバー証明書
ポートスキャン対策 PortSentry
XSS対策 Mod_security

出来るだけ快適にご覧いただけるように
PHPの高速化やgoogoleが開発したmod_pagespeed
などを入れてあります

サーバーは「さくらのVPS」(20G 512M)を利用
しております

少し落ち着きましたらチェックいたしますが
「購入できない」「エラーがでる」などございましたら
メール・お電話などでご一報ください

今後とも岡田徽章をお引き立てくださいますよう
よろしくお願い申し上げます

一昨日御客様からのご指摘により発見されました
プログラムの不具合。事実が確認できませんでした
ので一時的に停止しておりましたが本日詳細が確認
できました

ごく限られた操作によるものですが他のお客様の
お名前・住所・電話番号が表示されるという重大
な問題がありました

5名の方の個人情報が漏えいしておりました

テストしてもなかなか見つからなかった原因
——————————————-
新館プログラムは会員登録して購入と会員登録
しないで購入とお客様がどちらか選択してご購入
いただけます
このうちのゲスト購入(会員登録しないで購入)を
選択しお名前・お届け先の入力などを完了し次の
画面に遷移した際表示される「アドレスの変更」を
クリックすると他のお客様の情報が表示されてしまう

会員登録をすれば当然　お届け先の変更が必要な
場合がありますがゲスト購入はその都度ご住所を
入力するわけで　まずアドレスの変更はいたしません
(住所の入力直後にアドレスの変更をすることになります)

想定外の行動なのでチェックがなされていませんでした
——————————————-

5名のお客様には報告・謝罪・被害の確認をいたします
情報漏洩が確認できなかった御客様にはとくにご連絡
はいたしませんのでご了承ください

緊急であると報告をいただきながら確認・ご報告が
遅くなりましたことも重ねてお詫び申し上げます

ゲスト購入の停止という方法で対処いたしました

先ほど他で同じプログラムのゲスト購入を利用なさって
いるショップ様のページ(偶然見つけた)で同じ操作
をしてみましたがやはり同様に他のお客様の情報が
表示されました
OSCOMMERCEをご利用でゲスト購入機能をご利用の
ショップ様　緊急に対応する必要がありますので
サイトをご確認ください