PEAK XOOPS - Protector 3.50 beta

●要旨ようし

Protector は、XOOPS2ベースの各種かくしゅCMSを様々さまざまな悪意あくいある攻撃こうげきから守まもるためのモジュールです。

このモジュールでは、以下いかの攻撃こうげきを防ふせぎます。

- DoS
- 悪意あくいあるクローラー（メール収集しゅうしゅうボットなど）
- SQL Injection
- XSS （といっても、全すべてではありません）
- システムグローバル変数へんすう汚染おせん
- セッションハイジャック
- ヌルバイト攻撃こうげき
- ディレクトリ遡さかのぼり攻撃こうげき
- いくつかの危険きけんなCSRF (XOOPS 2.0.9.2以下いかに存在そんざいするもの)
- Brute Force （パスワード総そう当あたり）
- 拡張子かくちょうし偽装ぎそう画像がぞうファイルアップロード (すなわち、IE Content-Type XSS)
- 実行じっこう可能かのうなファイルをアップロードする攻撃こうげき
- XMLRPC関連かんれん
- コメントSPAM/トラックバックSPAM等とう、あらゆるSPAM

これらの攻撃こうげきからあなたのXOOPS2ベースCMSを守まもり、ログに記録きろくします。

ただし、このモジュールはあくまで、最大公約数さいだいこうやくすう的てきな防御ぼうぎょしか行おこないません。
一部いちぶの3rdパーティモジュールに見みられるような穴あなの一部いちぶは防ふせげるかもしれませんが、すべての穴あなを防ふせぎきるものではなく、過信かしんは禁物きんもつです。

その限界げんかいは承知しょうちの上うえで、すべてのXOOPS2ベースCMSユーザーに対たいして、インストールを強つよくお勧すすめします。



●利用りよう方法ほうほう

インストールには、XOOPS_TRUST_PATHの設定せっていが必要ひつようです。

アーカイブのhtml内ないを、XOOPS_ROOT_PATH側がわにコピーし、アーカイブのxoops_trust_path内ないを、XOOPS_TRUST_PATH側がわにコピーします。

モジュール管理かんりからインストールできれば、正まさしくファイルが置おけています。

ただ、それだけではまったく動作どうさしていませんので、mainfile.php からも呼よび出だすようにすることが絶対ぜったい必要ひつよう条件じょうけんです。

Protector をインストール後ご、お使つかいのXOOPS2ベースCMSの mainfile.php の一番いちばん下かのあたりに

と、赤あかくなっている２行ぎょうを追加ついかして下ください。

青色あおいろの部分ぶぶんは、最初さいしょにインストールした時ときのバージョンによって異ことなりますが、違ちがっていても気きにしなくて結構けっこうです。

バージョン3から、システムモジュール由来ゆらいのIPアクセス拒否きょひは利用りようしなくなりました。XOOPS_TRUST_PATH/modules/protector/configs を書込かきこめ許可きょかしてください。Protectorが拒否きょひIPを自動じどう登録とうろくする場合ばあい、ここに記述きじゅつするようになります。

もし、なんらかの理由りゆうで、自分じぶん自身じしんがIP拒否きょひリストに載のってしまった場合ばあい、バージョン2まではレスキューパスワードを利用りようしていましたが、バージョン3からは、FTP等とうで XOOPS_TRUST_PATH/modules/protector/configs 内ないのファイルを編集へんしゅうまたは削除さくじょしてください。

2.34から、実験じっけん的てきに、.htaccessによるDoS防御ぼうぎょというオプションを追加ついかしました。これを利用りようする場合ばあい、XOOPS_ROOT_PATHにある.htaccessを書込かきこめ可能かのうとする必要ひつようがあります。導入どうにゅうする際さいには、.htaccessファイルが書込かきこめ可能かのうである、というリスクと比較ひかくして下ください。


●XOOPS Cube Legacy 2.1へのインストール

特段とくだん違ちがいはありません。
mainfile.php の書かき換かえポイントの周辺しゅうへんが違ちがうので、パッチを当あてた後のちを示しめしておきます。



●ImpressCMSへのインストール

mainfile.php へのパッチは必要ひつようありません。
アーカイブの extras/ImpressCMS/preload/protector.php を、ご利用りよう中ちゅうのImpressCMSのpreloadフォルダにコピーしてください。

preloadを提供ていきょうしてくれたvaughanに感謝かんしゃします。


●バージョン2からのバージョンアップ

まず、mainfile.php から、Protectorに関かんする行くだりを削除さくじょしてください。

次つぎに、いったんXOOPS_ROOT_PATH/modules/protector/ 内ないのファイルを全すべて削除さくじょします。

すぐに、インストールと同様どうように全ぜんファイルをアップロードします。

管理かんり画面がめんからモジュール管理かんりに入はいって、Protectorモジュールをアップデートします。

最後さいごに、再度さいど、mainfile.phpを編集へんしゅうし、precheckおよびpostcheckを有効ゆうこうにしてください。バージョン2では、XOOPS_ROOT_PATH となっていた部分ぶぶんが、バージョン3では、XOOPS_TRUST_PATH となっていることに注意ちゅういが必要ひつようです。


●フィルタープラグインの利用りよう

V3から、XOOPS_TRUST_PATH/modules/protector/filters_enabled/ にフィルタープラグインを格納かくのうすることで、追加ついかチェックや追加ついかメッセージ・ロギングなどができるようになりました。作成さくせいや改造かいぞうも簡単かんたんなはずです。

このアーカイブ内ないにデフォルトで用意よういされているフィルタープラグインのうち一般いっぱん的てきなものを紹介しょうかいします。

- postcommon_post_deny_by_rbl.php
スパム対策たいさく用よう。
RBLを利用りようしてPOSTをはねます。
RBLに登録とうろくされたIPからの投稿とうこうはすべてSPAMだと判定はんていします。問とい合あわせが入はいるため、投稿とうこう時じの処理しょりがやや重おもくなるかもしれません。（特とくにChatなどでは影響えいきょうがあるかも）

- postcommon_post_deny_by_httpbl.php
スパム対策たいさく用よう。
http:BLを利用りようしてPOSTをはねます。
利用りようする前まえに、ファイルをエディタで開ひらいて、
define( 'PROTECTOR_HTTPBL_KEY' , '............' ) ;
この行くだりを書かき換かえます。HTTPBL_KEYは、http://www.projecthoneypot.org/ から取得しゅとくしてください。

-postcommon_post_need_multibyte.php
スパム対策たいさく用よう。
投稿とうこうに日本語にほんごが含ふくまれていることを要求ようきゅうするプラグイン。
日本語にほんごが１文字もじも含ふくまれていない100byte以上いじょうの文字もじ列れつがあったらSPAMだと判定はんていします。

-postcommon_post_htmlpurify4guest.php
ゲストによるPOSTデータすべてについて、HTMLPurifierを通過つうかさせるフィルターです。
ゲストにHTMLを許可きょかしている場合ばあいでは有効ゆうこうにすることを強つよくお勧すすめします。

-postcommon_register_insert_js_check.php
ロボットによるユーザ登録とうろくを防ふせぐプラグイン。
登録とうろくしようとするユーザのブラウザでJavaScriptが動作どうさしている必要ひつようがあります。

-bruteforce_overrun_message.php
パスワードを指定してい回数かいすう以上いじょう間違まちがえた時ときのメッセージを指定していします。*_message.php というフィルタープラグインはいずれも、メッセージを指定していするタイプのフィルターです。

-precommon_bwlimit_errorlog.php
過か負荷ふか防止ぼうし機能きのうが働はたらいた時ときに、その旨むねをApacheのエラーログに記録きろくします。
*_errorlog.php というフィルタープラグインはいずれも、エラーログに記録きろくするタイプのフィルターです。


いずれも、XOOPS_TRUST_PATH/modules/protector/filters_byconfig/ に置おいてあるので、必要ひつように応おうじて、filters_enabled にコピーしてください。
XOOPS_TRUST_PATHは、複数ふくすうサイトに利用りよう出来できる仕様しようなので、あるフィルターをサイトによって使つかい分わけたいケースもあるでしょう。
その場合ばあいは、Protectorの一般いっぱん設定せっていに、利用りようしたいフィルター名めいを記述きじゅつしてください。もちろん、記述きじゅつのないサイトでは有効ゆうこう化かされません。


●3.3からの新しん機能きのう: DBレイヤートラップanti-SQL-Injection

Protector-3.3以降いこう、データベースレイヤーを乗のっ取とって、動的どうてきなSQL Injection対策たいさくをする機能きのうを追加ついかしました。これによって、ほとんどのSQL Injection脆弱ぜいじゃく性せいは無害むがい化かできる気きがします。（わざと穴あなを空あけるつもりならいくらでも手てはあるので、保証ほしょうはしません）

これを有効ゆうこうにするためには、原理げんり的てきにデータベースファクトリクラスにパッチを当あてる必要ひつようがあります。

patches/ フォルダに、各かくコア用ようのパッチ済ずみデータベースファクトリクラスファイルが用意よういされているので、この機能きのうを利用りようしたい場合ばあいには、これで上書うわがきしてください。

もちろん、各かくコアチームが積極せっきょく的てきにこのパッチをHEADに採用さいようしてくれるのがベストだと考かんがえています。パッチについても、なるべく採用さいようしやすい形かたちにしたつもりです。

なお、以下いかのコアの最新さいしん版ばんは、この機能きのうのパッチが最初さいしょから当あたっています。（対応たいおうありがとうございます）

- XCL2.1.x
- ImpressCMS 1.x


●変更へんこう履歴りれき

3.50 beta (2009/11/17)
- 各かくサイトのProtector一般いっぱん設定せっていでフィルターのON/OFFをコントロール可能かのうとした
- filters_disabled に収おさまっていたフィルターをfilters_byconfigへ移動いどうした
- FTPワームや第三者だいさんしゃによるサイト改かいざんチェッカーを新設しんせつした

3.41 (2009/11/17)
- swfファイルのファイルタイプ誤認ごにんに対応たいおう
- 言語げんごファイル追加ついか
-- polish_utf8 (thx jagi)

3.40 (2009/09/16)
- 安定あんてい版ばんとして番号ばんごうを振ふり直なおした
- "Xoops Protector" という名前なまえをやめてシンプルに "Protector" へと変更へんこうした
- ImpressCMSおよびXCL対応たいおうアイコンを用意よういした (thx rene)
- 一部いちぶ環境かんきょうでのpostcommon_post_need_multibyteの動作どうさ不良ふりょうに対応たいおう (thx orange) 3.40a
- 言語げんごファイル更新こうしん
-- spanish (thx Colossus) 3.40b

3.36 beta (2009/08/27)
- HTMLPurifier を 4.0.0 に更新こうしん
- フィルター追加ついか
-- postcommon_post_htmlpurify4everyone.php (POSTが常つねにHTMLPurifierを通過つうかする)
-- postcommon_post_register_moratorium.php (登録とうろく直後ちょくごのURL付づけ投稿とうこうを禁止きんしする) 3.36a
- 言語げんごファイル更新こうしん
-- persian (thx voltan) 3.36a

3.35 beta (2009/08/13)
- ImpressCMS等とうでmodinfo.phpが常つねに英語えいごになっていたのを修正しゅうせい (thx Phoenyx)
- DBLT-ASIのコメントに対たいする動作どうさをリクエストから判断はんだんするように修正しゅうせいした
- モジュールメンテナーのために、Protectorの動作どうさモードを知しるための定数ていすうを定義ていぎした
-- PROTECTOR_ENABLED_ANTI_SQL_INJECTION
-- PROTECTOR_ENABLED_ANTI_XSS
- 言語げんごファイル更新こうしん
-- arabic (thx Onasre) 3.35a

3.34 beta (2009/07/06)
- DBレイヤートラップanti-SQL-Injection(DBLT-ASI)のコメントに対たいする動作どうさを緩和かんわした
- DBレイヤートラップが常つねにONになってしまう環境かんきょうに対応たいおうするオプションの追加ついか

3.33 beta (2009/04/03)
- PHP_SELFやPATH_INFOの特殊とくしゅ文字もじ強制きょうせい変換へんかんをやめた (thx nao-pon)
- PHP_SELFも大おおきな傘かさanti-XSSの対象たいしょうに加くわえた
- PROTECTOR_VERSION 定数ていすうで、Protectorのバージョンを確認かくにんできるようにした
- ImpressCMS へのインストール方法ほうほうやHTMLPurifierの適用てきようを改善かいぜんした (thx vaughan)
- F5Attackやクローラーで「ログのみ」の処理しょりがおかしかったのを修正しゅうせい (thx ChaFx)
- 大おおきな傘かさAnti-XSSの初期しょき値ちを有効ゆうこうに変更へんこうした

3.32 beta (2009/01/27)
- nocommon状況じょうきょうでのDBレイヤートラップanti-SQL-Injection動作どうさを回避かいひした (thx naao)
- 言語げんごファイル更新こうしん
-- persian (thx voltan)

3.31 beta (2009/01/20)
- 一般いっぱん設定せっていなどでダブルクオーテーションがあるとSQL Injectionと判定はんていされる問題もんだいを修正しゅうせい
- 言語げんごファイル更新こうしん
-- spanish (thx Colossus)

3.30 beta (2009/01/14)
- DBレイヤートラップanti-SQL-Injectionを実装じっそうした
- 過か負荷ふか中ちゅうのフィルターがかかった場合ばあいにエラーログを吐はくフィルターを追加ついか
- 不正ふせいIPとして弾ひかれたアクセスについてエラーログを吐はくフィルターを追加ついか
- 言語げんごファイル更新こうしん
-- spanish (thx Colossus)
- 過か負荷ふか対策たいさくフィルターについては503エラーを返かえすようにした (thx Colossus) 3.30a

3.22 (2008/12/03)
- 削除さくじょ済ずみクッキーが'deleted'という値ねで送おくられ、BruteForce扱あつかいとなる現象げんしょうに対応たいおう
- セキュリティガイドにXOOPS_TRUST_PATHがプライベートとなっているかのチェックを追加ついか
- 言語げんごファイル追加ついか
-- nederlands (thx Cath)
- 言語げんごファイル更新こうしん
-- persian (thx voltan) 3.22a
- ページナビを下したにも表示ひょうじするようにした (thx McDonald) 3.22a

3.21 (2008/11/21)
- 一般いっぱん設定せっていに帯域たいいき制限せいげんを追加ついか
- IP BANを喰くった相手あいてに解除かいじょ時間じかんを知しらせるメッセージをデフォルトにした
- precommonフィルターでも言語げんご指定していを可能かのうにした
- 言語げんごファイル更新こうしん
-- spanish (thx Colossus) 3.21a
- 拒否きょひIPリストを更新こうしん出来できなくなっていたのを修正しゅうせい (thx rohi) 3.21a

3.20 (2008/09/17)
- 安定あんてい版ばんとしてバージョン番号ばんごうをふり直なおした
- 言語げんごファイル更新こうしん
-- arabic (onasre)
- 言語げんごファイル修正しゅうせい
-- de_utf8
- 言語げんごファイル追加ついか
-- italian (thx Defcon1) 3.20a
- 携帯けいたい判定はんていメソッド isMobile() をProtectorFilterAbstractクラスに追加ついか 3.20b

3.17 beta (2008/04/24)
- URI SPAM判定はんていで、自じホストと同一どういつの場合ばあいは通過つうかするようにした
- 言語げんごファイル更新こうしん
-- persian (thx stranger and voltan) 3.17a
- 言語げんごファイル追加ついか
-- de_utf8 (thx wuddel) 3.17a

3.16 beta (2008/01/08)
- SPAMフィルター追加ついか postcommon_post_deny_by_httpbl (honeypotproject.orgのBL利用りよう)
- 言語げんごファイル更新こうしん
-- polish (thx kurak_bu)

3.15 beta (2007/10/18)
- ログのコンパクト化か追加ついか
- ログの全ぜん削除さくじょ追加ついか
- 言語げんごファイル追加ついか
-- fr_utf8 (thx gigamaster)

3.14 beta (2007/09/17)
- HTMLPurifier導入どうにゅう (special thx! Edward Z. Yang) ※PHP4ではまともに動うごきません
- フィルターポイントを追加ついか (spamcheck, crawler, f5attack, bruteforce, purge)
- フィルタープラグイン追加ついか
-- ゲスト投稿とうこうのすべてをHTMLPurifierに通過つうかさせるフィルター (PHP5専用せんよう)
-- SPAM判定はんていされた時ときにメッセージを表示ひょうじする（リダイレクトする）フィルター
-- 悪質あくしつクローラ判定はんていされた時ときにメッセージを表示ひょうじする（リダイレクトする）フィルター
-- F5アタック判定はんていされた時ときにメッセージを表示ひょうじする（リダイレクトする）フィルター
-- ブルートフォース時じにメッセージを表示ひょうじする（リダイレクトする）フィルター
-- その他た排斥はいせき処理しょりされる直前ちょくぜんにメッセージを表示ひょうじする（リダイレクトする）フィルター

3.13 beta (2007/08/22)
- フィルタープラグインをグローバル関数かんすうからクラスに変更へんこう
- フィルターポイントを追加ついか (badip, register)
- フィルタープラグイン追加ついか
-- ユーザ登録とうろく時じにJavaScriptチェックを入いれるフィルター(ユーザ登録とうろくSPAM対策たいさく)
-- 拒否きょひIP時ときにメッセージを表示ひょうじするフィルター
-- 拒否きょひIP時ときにリダイレクトするフィルター

3.12 beta (2007/08/16)
- $xoopsOption['nocommon'] が動作どうさしていなかったバグの修正しゅうせい

3.11 beta (2007/08/16)
- mainfile.php へのパッチでprecheckとpostcheckを取とり違ちがえても動うごくように対応たいおう
- RBLフィルターのデフォルトからniku.2ch.netを削除さくじょ
- 言語げんごファイル追加ついか
-- フランス語ふらんすご (thx Christian)

3.10 beta (2007/07/30)
- precheckのconfigは、ローカルキャッシュから取得しゅとくするようにした
- MySQLへの二に重じゅうコネクションを極力きょくりょく排除はいじょした
- 信用しんようできるIPが一部いちぶで機能きのうしていないバグの修正しゅうせい
- インストールとmainfileパッチの順番じゅんばんが逆ぎゃくでもエラーが出でないようにした
- ホダ塾じゅくインストーラだとフォルダのパーミッションを事前じぜんにチェックするロジックの追加ついか
- 拒否きょひIPを「一致いっち」「前方ぜんぽう一致いっち」「正規せいき表現ひょうげん」のいずれでも表記ひょうきできるようにした
- 拒否きょひIPに時間じかん制限せいげんを設もうけた
- configsディレクトリが書込かきこめ禁止きんしになっている場合ばあいのWarningを追加ついか

3.04 (2007/06/13)
- phpmailerのコマンド実行じっこう脆弱ぜいじゃく性せいに対たいするチェックを追加ついかした
- postcommon_post_need_multibyte のチェックをもう少すこし強力きょうりょくにした (3.04a)

3.03 (2007/06/03)
- インストーラアタックへの対策たいさくを追加ついかした
- 言語げんご名めい変更へんこう
-- ja_utf8 (以前いぜんのjapaneseutf) 3.03a

3.02 (2007/04/08)
- ID風ふう変数へんすうの強制きょうせい変換へんかんの処理しょりをもう少すこし緩ゆるやかにした
- セキュリティガイドのリンク切きれを修正しゅうせい
- DoS/crawlerチェックをスキップできる手段しゅだんの提供ていきょう（ある定数ていすうを定義ていぎする）
- D3システムのアップデート
- 言語げんごファイル追加ついか
-- persian (thx voltan)
-- russian (thx West) 3.02a
-- arabic (thx onasre) 3.02b
-- japaneseutf 3.02c

3.01 (2007/02/10)
- IPソートルールの変更へんこう
- 言語げんごファイル追加ついか
-- portuguesebr (thx beduino)
-- spanish (thx PepeMty)
-- polish (thx kurak_bu) 3.01a
-- german (thx wuddel) 3.01b
- module_icon.php をキャッシュ可能かのうに 3.01c
- module_icon.php のtypo修正しゅうせい 3.01d

3.00 (2007/02/06)
- 安定あんてい版ばんとしてのリリース
- ログレベル指定していミスの修正しゅうせい
- マルチバイトプラグインが登録とうろくユーザのPOSTを弾ひかないように修正しゅうせい (thx mizukami)
- 本家ほんけ版ばん2.2.xとの相性あいしょう問題もんだいの改善かいぜん 3.00a

3.00beta2 (2007/01/31)
- プラグインシステムの導入どうにゅう (とりあえず postcommon_post_* というタイプのみ)
- フィルタープラグインの追加ついか
-- postcommon_post_deny_by_rbl.php (RBLによるIPベースなSPAM対策たいさく)
-- postcommon_post_need_multibyte.php (文字もじ種類しゅるいによるSPAM対策たいさく)

3.00beta (2007/01/30)
- XOOPS_TRUST_PATH側がわに本体ほんたいを置おくことにした
- IP拒否きょひ機能きのうを単純たんじゅんなファイル処理しょり(configsディレクトリ下か)に変更へんこうした
- グループ1になれるIPアドレス制限せいげん機能きのうの追加ついか（これも単たんなるファイル処理しょり）
- レスキュー機能きのうの削除さくじょ （3.0以降いこうは単たんにFTP等とうでファイルを削除さくじょすれば復活ふっかつします）
- テーブル構造こうぞうの修正しゅうせい (MySQL5対応たいおう)
- BigUmbrella anti-XSS の導入どうにゅう
- コメント・トラックバックSPAM対策たいさく機能きのう追加ついか
- Cube 2.1 Legacy RC での動作どうさ確認かくにん


●謝辞しゃじ
- Kikuchi (繁しげる体からだ中国語ちゅうごくごファイル)
- Marcelo Yuji Himoro (ブラジルのポルトガル語ご・スペイン語ごファイル)
- HMN (フランス語ふらんすごファイル)
- Defkon1 (イタリア語ごファイル)
- Dirk Louwers (オランダ語ごファイル)
- Rene (ドイツ語ごファイル)
- kokko (フィンランド語ごファイル)
- Tomasz (ポーランド語ごファイル)
- Sergey (ロシア語ごファイル)
- Bezoops (スペイン語ごファイル)
(以上いじょう、バージョン2までの言語げんごファイル作成さくせい者しゃです。バージョン3ではいったん削けずってます。すみません）
- beduino (ブラジルのポルトガル語ごファイル)
- PepeMty (スペイン語ごファイル)
- kurak_bu (ポーランド語ごファイル)
- wuddel (ドイツ語ご)
- voltan&stranger (ペルシャ語ご)
- onasre (アラビア語ご)


また、このモジュール作成さくせいにあたり、様々さまざまなご指導しどう・ご鞭撻べんたつをいただいた、zxチームの皆様みなさま、とりわけJM2さん、minahitoさんに、心しんより感謝かんしゃいたします。



------------------------------------------------------------

GIJ=CHECKMATE <gij@peak.ne.jp>
2004-2009

PEAK XOOPS http://xoops.peak.ne.jp/