@SERVER(アットサーバ)に関するサポートやメンテナンス情報のご案内ページです。

ウェブサイトのセキュリティ調整【注意喚起】

ウェブサイト内の特定ディレクトリのパーミッション設定について
「書き込み権限有効化」がオープンになりすぎていることにより、
不正にファイルが設置される事象が確認されています。

不正ファイルの設置による被害は、同じ共用サーバをご利用の他のお客様にも
及ぶこともあるため、対策として

・ディレクトリのパーミッション設定の見直し
・PHP設定の見直し(PHPの無効化)

についてご案内させていただきます。

◆ディレクトリのパーミッション設定の見直し

ディレクトリのパーミッションについては通常は一般的な755( drwxr-xr-x ) 等 で 十分です。

777( drwxrwxrwx ) あるいは 757( drwxr-xrwx ) 707 ( drwx—rwx ) になっている場合、
不正なファイル設置の標的になるケースが確認されています。
CGIの関連ディレクトリであっても、設定ファイル格納ディレクトリやライブラリ格納ディレクトリなどは、
書き込み権限は必要ないものがほとんどです。

また、データを格納するディレクトリであっても、ディレクトリ直下にファイルを新規作成しないタイプであれば、
755( drwxr-xr-x )で対応できることもあります。

調整が推奨されるサイトや、不正ファイルが設置されているサイトについては
個別にご連絡をさせていただく場合がございますが、お客様におかれましても
可能な限り、ディレクトリのパーミッションの確認をいただき、調整をお願いいたします。

以下はコントロールパネルでhttpdocsのディレクトリのパーミッションを変更する例でご案内します。
 (FTPソフト等でも調整は可能です)

  1. コントロールパネルにログインし、上部の契約プルダウンで対象の共用@SERVER契約を選択
  2. 「ウェブサイトとドメイン」メニューをクリック
  3. 「ファイルマネージャ」をクリック
    ⇒ディレクトリは黄色いフォルダアイコンで表示されます
  4. 「httpdocs」の黄色いフォルダアイコンと同じ行のパーミッション欄を確認
    ⇒パーミッション欄が 「rwxrwxrwx」「rwxr-xrwx」「rwx—rwx」などの場合、
    パーミッション欄の青字をクリック
  5. 「ディレクトリ(ドメイン名) / httpdocsのパーミッションを変更する」の画面にて、
    ”グループ”、”他”の欄の 【書き込みモード】のチェックを外し「OK」をクリック

filemngdirperm

◆PHP設定の見直し(PHPの無効化)

不正にサイトに設置されるファイルについては、”●●.php ” (PHPプログラムファイル)が多く確認されています。

※WordPress、Joomla、EC-CUBE、Drupal等の PHPを利用したアプリケーションを利用のお客様はphpが必須です。
 「index.php」 などでサイトを構成している方についても 本項でご案内するPHPの無効化の作業はお控えください。

ただ、サイト内で、html でのサイトや、Perlで記述されたプログラムファイルなどでサイトを表示し、
PHPをご利用でないお客様の場合については、以下の設定を推奨いたします。

  1. コントロールパネルにログインし、上部の契約プルダウンで対象の共用@SERVER契約を選択
  2. 「ウェブサイトとドメイン」メニューをクリック
  3. ページ下に表示されているお客様ドメイン名の青字をクリック
    ⇒「(ドメイン名) のホスティング設定」という画面が表示されます
  4. PHP 対応 欄の左のチェックボックスのチェックを外し「OK」をクリック

カテゴリ: 脆弱性・セキュリティ情報