webroot直下にdbのダンプファイルなんて置かないで

Author:

開発サーバのapacheのログとか見ると、こんなアクセスが来ていた。

client denied by server configuration: /www/dump.sql.zip,
client denied by server configuration: /www/dump.zip
client denied by server configuration: /www/db.tar
client denied by server configuration: /www/mysql.zip
client denied by server configuration: /www/1.sql
client denied by server configuration: /www/sql.zip
client denied by server configuration: /www/dump.tgz
client denied by server configuration: /www/backup.sql.bz2
client denied by server configuration: /www/sql.tar.gz
client denied by server configuration: /www/users.sql
client denied by server configuration: /www/site.sql
client denied by server configuration: /www/dump.gz
client denied by server configuration: /www/db.sql.bz2
client denied by server configuration: /www/dbdump.sql.gz

見ての通り、不正アクセスですな。
DocumentRoot直下にdbのダンプファイルが無いかを探していると。
危険ですねえ。
この環境ではApacheで特定IP以外は通さないようにしているものの。

ま、/home/xxx/直下にこういう系のファイルがある可能性は高いけど、わざわざDocumentRoot直下にこんなもの置かないですな。

ただしこれがレンタルサーバー系だとうっかりそういう自体が起こりえるかもしれなくて。
ちょっとお試しにとかそんな感じで置いてしまっって攻撃受けるとかありそう。
事実BackWPupとかパスを知っていればアクセスできるファイルなのですから。
そういう意味ではwp-config.phpがDocumentRoot上にあるwordpressはやっぱり好きじゃない。

基本的にIP直つなぎでもない限りこういうアクセスは来づらいと思いますが、
とりあえず不正なアクセスが無いかどうかは定期的に確認しましょうね。

Facebook にシェア
Pocket