怖い話

 久しぶりに記事を書きます。最近はチョットバタバタしていまして記事を書いていませんでしたが、これからはこまめに更新していこうと今だけは思っています。

 お仕事絡みなので詳しいことは書けませんが、とある団体さんから「自分の所のHPで導入したフリーのCMSを動かしていたら動きが鈍くなっていき仕舞いには閲覧できなくなり、プロバイダーからもサービスの制限を受けてしまった。どうしよう?」とご相談を受けたのですが、そのCMSはとりあえず名を伏せておきましょう、便宜上Aという名で呼びますが、その方はあんまりプログラムの知識もなくただインストールして基本的な設定をして使っていたそうです。

 その相談を受けた時点で、プロバイダからDBサーバへのアクセス制限がかけられていたこともあって、既にAの管理者画面すら動かない状態で、仕方なく「phpMyAdmin」「phpPgAdmin」とか一般的にプロバイダで使われているDBの管理ツールを使ってそのAが構築しているDBを眺めてみた。まず、プロバイダから示された「このSQL文が主な原因」とされたSQLを実行してみる。3つある内の1つがタイムアウトした。LIMITで抽出レコード数を10にして実行、実行時間約8秒で戻ってきた。「遅いな」と思いテーブルの状態を一覧できる画面で見てみると、a_commentとかいうテーブル(如何にもコメント用テーブル)のレコード数が16万件でテーブルの容量が330MBを越えていた。「一体CMSをどんな使い方してんだよ!」って思いながら、テーブルを解析してみると元記事に対して多いところで9,000件以上のコメントが付いていた。しかも問題視されたSQL文はとある記事に対して全コメントを抽出という無謀なSQLだった。単純計算1件約2KBのレコード情報を9,000件以上も要求されたら...プロバイダの言うことももっともだ私が管理していても制限をかけさせていただく。

 でそもそも何でこんなコメント数になるまで野放しにしていたのかと問い詰めてみると「コメントなんて使用していない」って意外な返事が、言われてみれば制限がかかっているにもかかわらず当該サイトもストップしているにもかかわらずコメント数が増えている。まぁここら辺で相手のスキルがうかがい知ることが出来たのだが「サイトを止めている」ってのは単に「トップページを差し替えている」だけで配下のURLを直接叩いているとアクセスできていたようで、止めていたわけではないようだ。問題は「コメントを受けつけていない」にもかかわらず16万件以上・330MBものコメントを野放しに受け入れていたことである。まぁこれも「コメントを受けつけていない≠コメントを受けつける機能を停止させている」ではということであろう。多分そのAというCMSをターゲットにしたコメントSPAMの集中砲火状態なんでしょうね。続に言う炎上ってやつみたいです。まぁその怖さがなかなか伝わらない相手だから困っているのだけど、便利なCMSが一杯でバックグラウンドで動いているDBの状態とかも見ていない管理者って多いのかな?怖いですね。そのAはIPAで見るとクロスサイトスクリプティングの脆弱性もあるらしいので「Aを辞めれば良いのに」ってのが私の見解なのだが、「SPAM対策用のプラグインがありました」という彼の耳には全く届かないようだ。

 自分もこのサイトを「Movable Type」で運用しているので同じことが言えるかも知れないが、一応コメントはユーザ側にとっては面倒なほど回りくどい登録方法になっている。だからコメントを試みた人は未だいない(淋しい)。でもそのままのディレクトリ構造やパスなどを使用しないでちょこっとカスタマイズを施すだけでかなりリスクを軽減させることは出来ると思うんだけど、まぁリスク自体を感じていない人にとっては「馬の耳に念仏」なのであろう。やはりブログ等のCMSを使用するのであればプロバイダ側が用意したものに乗るのが手っ取り早いし、セキュリティなどに気を使う部分が軽減される。あ〜この人も「改めてオリジナルのCMSを構築お願いします」とかって言ってくれると嬉しいのだが...

カテゴリ

,

コメントする

(初めてコメントする場合、承認されるまではコメントが表示されない場合があります。)

2016年6月

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    

このブログ記事について

このページは、管理人が2007年11月15日 10:49に書いたブログ記事です。

ひとつ前のブログ記事は「11〜12日は不在です」です。

次のブログ記事は「暗号化の実験(文字列を画像化してみる)」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

お問い合わせ