なんか忘れがちになって危ういので、しっかりと復習のためにも書いておく。
以前、MTを設置していたサーバー会社から、急激にサーバー負荷が上がったので、高負荷の原因となっている mt-comments.cgi のパーミッションを緊急で 000 へ設定しました。至急ご対応くださいとメールがきたことがある。
そのサーバーではコメントを受け付けてなかったにも関わらずだ。 ログを見てみると中国からのIPアドレスだったが、1秒間に数十回 mt-comments.cgi へのアタックが確認できた。ただでさえ重たいMTなのにそらサーバー落ちるよ。
この事件をきっかけに、MTまわりの使っていないCGIなどは削除もしくは実行権限を外しておくべきだと改めて認識した。
意味もなく実行権限あたえたままにしていると、いつ攻撃されるかわからないので、MT使っている人は最新Versionを使っていようが、以下を参考にして再度確認しておこう。
■ あれば削除すべきもの
古いMTから新しいMTに上書きアップグレードで残っている可能性がある以下のCGI スクリプトファイルがあれば、もう必要ないので問答無用で削除。
mt-add-notify.cgi
mt-view.cgi
■ インストール後は削除すべきもの
mt-wizard.cgi
mt-testbg.cgi
■ 用途に応じて設定するもの
まったく以下の機能を使用していない。今後も使用する予定がないなら削除。
削除までしてもいいのかよくわからないなら、とりあえず実行権限を000にしておく。
mt-atom.cgi (Atom API 機能)
mt-check.cgi(システム情報の確認に使用)
mt-upgrade.cgi(MovableType のバージョンアップやプラグインのインストールには必須)
mt-cp.cgi (コミュニティ機能)
mt-feed.cgi (ログフィード機能)
mt-search.cgi (サイト上での検索機能)
mt-ftsearch.cgi (サイト上での検索機能)
mt-xmlrpc.cgi (XMLRPC 機能)
mt-data-api.cgi (Movable Type Data API 機能)
mt-sp.cgi (スマートフォンオプション) mt-comments.cgi (コメント機能)
mt-tb.cgi (トラックバック機能)