Zen Cart 1.3.0.2系でのrecord_companyの対策

上記のジャンルにあてはまらない話題、雑談など
アバター
けんた

Zen Cart 1.3.0.2系でのrecord_companyの対策

投稿記事by けんた » 2010/6/18 10:18

先日zen-cartのサイトを確認しようとすると「Internal Server Error」が表示されました。確認してみると、zen-cartのindex.phpのパーミッションが0になっていました。

レンタルサーバ屋さんに確認したところ、CPUの負荷が高くなり、負荷原因であるzen-cartプログラムのindex.phpのパーミッションを0にしたとことです。

Internal Server Errorが出るようになったころをアクセスログで確認してみると
--------------------------------------------------------------------------
- - [2010] "GET /shop/index.php?main_page=featured_produ...00788(←英数字の羅列もっと長い)//images/90794.php?site=http://www.***/index.php?main_page=featured_produ...0078800788(←英数字の羅列もっと長い)//images/90794.php HTTP/1.1" 200 28104 "-" "Mozilla/5.0"
--------------------------------------------------------------------------
のようなimagesフォルダーの中のphpプログラムへのアクセス?が頻発してます。
imagesフォルダーにphpプログラムが確認できなかったので調べてみると

http://www.lac.co.jp/info/alert/alert20091008.html
の情報を発見したので、mysqlのデータベースのrecord_companyをみてみると、
見慣れない***.phpなるものを発見しました。

これがCPU負荷の原因かどうか不明です。

その時のzen-cart v1.3.0.2-l10n-jp-5にて運用していました。
現在はZen Cart 1.3.0.2-l10n-jp-6にしています。

このような現象でのZen Cart 1.3.0.2系での対策方法としは
viewtopic.php?f=6&t=4609
viewtopic.php?f=1&t=4586
に書いてあるような
Zen Cart 1.3.0.2-l10n-jp-6にするのとadminフォルダーの変更の他に何かあるでしょうか?その他対策する方法などあれば教えてください。

また、Zen Cart 1.3.0.2系でなくてZen Cart 1.3.8系にしたほうが良いのでしょうか?ご意見をお聞かせください。
よろしくお願いいたします。
アバター
kimono
記事: 1995
登録日時: 2005/9/27 13:30
お住まい: 大阪府大阪市天王寺区上本町
連絡を取る:

Re: Zen Cart 1.3.0.2系でのrecord_companyの対策

投稿記事by kimono » 2010/6/18 15:27

こんにちわ。kimonoです :)

これは、掲示板を辿っていただけましら分かりますように、
v1.3.0.2-l10n-jp-5
であれば、基本的にやられません。
v1.3.0.2-l10n-jp-4での脆弱性になります。

もし、それでやられていたとするならば、4?5にされるときのパッチがきちんと対応されていない可能性がありますので、それ程多くありませんので、確認された方がいいと思います。同じファイルが同じ箇所訂正されているかどうか、オーバーライドなどされていないかどうか。

adminを変える以外は、
http://zen-cart.jp/pukiwiki/605.html
こちらを参照するといいと思います。

また、1.3.8にする必要はないですね。
基本的に1.3.0.2系はきちんと脆弱性は本家と同じものをパッチとして公開し、あてております。
1.3.8にしても、日本サイトでは対応できなくなりますし、どちらにしても、本家の最新版は1.3.9dになりますね。
アバター
けんた

Re: Zen Cart 1.3.0.2系でのrecord_companyの対策

投稿記事by けんた » 2010/6/19 07:08

情報ありがとうございます。

v1.3.0.2-l10n-jp-5はあてていたのですが、
adminのリネームをしていないためかやられてしまいました。

パッチ対応がきちんとできていない為かもしれません。
再度チェックしてみます。

パッチが適用できている確認方法としては、
>同じファイルが同じ箇所訂正されているかどうか、
>オーバーライドなどされていないかどうか。
の他にはどのような方法があるのでしょうか?
これは差分チェックファイルをつかうのですか?

>1.3.8にする必要はないですね。
参考になります、いろいろなバージョンが存在するので、どれを利用すてばいいのか悩みます、参考になります。
アバター
けんた

Re: Zen Cart 1.3.0.2系でのrecord_companyの対策

投稿記事by けんた » 2010/6/19 10:00

上記投稿で

「これは差分チェックファイルをつかうのですか?」
の部分の
差分チェックファイル→差分チェックプログラム
の間違えです。
アバター
kimono
記事: 1995
登録日時: 2005/9/27 13:30
お住まい: 大阪府大阪市天王寺区上本町
連絡を取る:

Re: Zen Cart 1.3.0.2系でのrecord_companyの対策

投稿記事by kimono » 2010/6/21 11:04

差分をチェックするプログラムは色々あると思いますが、私は何も使っていません。
カスタマイズしているかどうかを見ていきながら、二つのファイルを見比べてパッチをきちんと当てはめています。見比べるのは、私は秀丸で二つのファイルを開いて、内容比較で見ていきながら、当てはめていますね。

オーバーライドは、しているかしていないか見れば分かりますね。

“Zen Cart 雑談処「禅亭」” へ戻る