ここのところ、海外からWebサーバに対して"Put"を使い、サイトの改ざんを狙った攻撃が非常多い。大体が、81.xx.xx.xx や 84.xx.xx.xx からやってくるようである。

Webページの改ざんには2種類あり、1つは価格.comや静岡新聞の一部のサイトがやられたように、"サイトのソース"を書き換えるというもの。もう一つが標題にもあげた "Put" を使った改ざんである。Put とは、何かのファイルをサーバ側にアップロードするために使う。FTPでよく使われるが、何故かHTTPにも実装されている。Put を用いた改ざんは主に、ページの改ざんではなく、サイトの改ざんを狙う。

実際にこの攻撃が成功すると、変なHTMLファイルをアップロードされ、改ざんを報告するサイトに晒される。これを見た別のクラッカーは、別の脆弱性がないか、バックドアを仕掛けなれないか探るに違いない。しかも、ページが改ざんされたわけではないので、Webサーバの管理者も気づきにくいというのがこの攻撃の特徴でもある。*1

にしても、この攻撃の数は多すぎである。改ざんが気になるWebサーバの管理者は、自分の管理サーバの設定を是非確認していただきたい。

確認方法
1."OPTIONS / HTTP/1.0" と"OPTIONS * HTTP/1.0" を自分のサーバに打ち、Putが許可されていないか確認する。
2.ディレクトリの権限を確認し、外部からのファイルの書き換えができないか確認する。
3.実際にPutを打ってみて、成功しないか確認する。

くれぐれも、他のサイトに向けてテストしないようにしてください。