IT EVANGELIST.NET ロゴ

クライアントの課題をITで解決する

[WordPress]ロリポップ!のWordPressに大規模なクラッキングが発生

公開日: 2013/08/29
カテゴリー: WordPress

2013年9月3日追記:ロリポップ!サーバにターゲットを絞ったクラッキングでしたので改題&記事修正をしました。

2013年08月28日に、ホスティングサーバレンタルサーバーサービス「ロリポップ!」に設置されたWordPressサイトで大規模なクラッキングが発生しているようです。

WordPressの公式フォーラムにも報告が上がってます。

注意:該当トピック中に記載があるWebサイトにアクセスすることで二次被害を被る可能性がありますので、不用意にアクセスするようなことはしないようにお願いします。

WordPress › フォーラム » サイト改ざん?

また、永江一石さんのブログ「More Access! More Fun!」では以下の2本の記事で注意を促しています。

【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます

続) ロリポップのWordPress大量乗っ取りについての推測と対応

以下のハッカーの声明リストを見ると、乗っ取ったWebサイトが大量に記載されています。

注意:公式フォーラムと同様に、クラッキングされたWebサイトにアクセスすることで二次被害を被る可能性がありますので、不用意にアクセスするようなことはしないようにお願いします。
http://www.hack-db.com/hacker/Krad_Xin/all.html
WordPress Login画面

クラッキングされた場合に発生する現象

クラッキングされた場合は、以下のような現象が発生するようです。

  • WordPressサイトが文字化けする
  • 画面が真っ白になる
  • サイトタイトル・キャッチフレーズが「Hacked by Krad Xin」に書き換えられる
  • 個別ページが表示不可になる
  • ウィジェットにメッセージとコードが追加される
  • .htaccessが改ざんされる

これ以外の現象もあるかもしれませんので、サーバのタイムスタンプ等を確認して、変更されていないかチェックをしてみてください。

原因は現時点では不明

現状、サーバ側の問題なのか、MySQLの虚弱性なのか、WordPressのセキュリティホールなのか、どこに原因があるのかは分かっていないようですが、上記の公式フォーラム内でhissyさんが

「R.I.P lolipop part 1」とコメントされている

と述べているので、クラッカーはロリポップ!レンタルサーバーをターゲットにしている可能性があります。

ロリポップからは8月29日13:26段階で以下の情報が出ています。

当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について

被害状況は

「ロリポップ!レンタルサーバー」のユーザーサーバーにおいてWordPressをインストールされている一部のお客さま(4,802件)

対策は

1)セキュリティ面の強化の為、対象となるサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしましたが、さらなる被害拡大を防止する対策として、被害が確認されていないWordPressサイトにつきましても、wp-config.php のパーミッションを「400」に変更する作業を進めております。

2)引き続き、全ファイルに対してウィルススキャンを実行しており、現在の進捗状況は約33%となっております。
不正なファイルを検知した場合、全該当ファイルのパーミッションを「000」に変更し、該当ファイルにアクセスできないようにします。

ということですが、現状では原因も不明ですので引き続き注意が必要です。

とりあえずの対処法

原因は不明とはいえとりあえずできるだけの対処は行う方が望ましいです。

まずは、ロリポップ!が出している対処法は以下の通りです。

サイト改ざんへの対策をお願いいたします – ロリポップ!レンタルサーバー:ロリポップ!レンタルサーバーより、セキュリティに関する重要なお知らせです

これ以外にはwordPressの方でも対策を行う必要があります。

ID、パスワードは簡単に推測できないものに変える

WordPress]全世界のWordPressサイトに大規模攻撃: デフォルトユーザーの’admin’を変更する方法

wp-config.phpと.htaccessのパーミッションを変更する

こちらは上記ロリポップが出している対処法と重なる部分ですが、

.htaccessのパーミッションは「604」
wp-config.phpのパーミッションは「400」

にした方が良さそうです。

WordPressのログイン履歴を見る

私のWebサイトにも入れておりますが、WordPressのログイン履歴を表示するPluginの「Crazy Bone」は入れておいた方がいいと思います。

WordPress › Crazy Bone « WordPress Plugins

その他の対策

これ上記以外にも、出来るだけの対策をこれを機会に行ってる方が望ましいでしょう。

  • ホスティングサービス管理画面やFTP等のID、パスワードを変更する
  • DBのパスワードを変更する
  • wp-config.phpのセキュリティートークン文字列を変更する

More Access! More Fun!:WordPress初心者向け セキュリティ強度をできる限り上げる方法

また、何か情報が出てくれば追記又はエントリーをしたいと思います。

追記:2013年9月1日

ロリポップからは現段階で以下の情報が出ています。

[2013/08/29 22:40 追記]

[被害範囲]

「ロリポップ!レンタルサーバー」のユーザーサーバーにおいてWordPressをインストールされている一部のお客様(8,438件)

[原因]

WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました。
またそのファイルを利用し、wp-config.phpの設定情報が抜き出されることにより、データベースの書き換えが行われ、WordPressサイトが改ざんされました。

[対策と進捗について]

1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード、および該当するデータベースを使用している CMS の設定ファイル上のパスワードを新しいものに逐次書き換えております。

2)サーバーの設定を変更し FollowSymLinks を無効にしました。また、SymLinksIfOwnerMatch を有効にするため、ユーザーごとに .htaccess 内の記述の置換を逐次行っております。

3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

[2013/08/30 04:13 追記]

[対策について]

2013/08/29 22:40 にご報告した対策に加えて、お客様のデータベースの安全性を確保するため、ロリポップ!レンタルサーバー上にある全てのWordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換えを行います。

[2013/08/30 19:13 追記]

[原因]

2013/08/29 22:40 時点でのご報告において、改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。

[2013/08/30 23:02 追記]

[対策について]

1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードを新しいものに逐次書き換えております。

2)サーバーの設定を変更しFollowSymLinksを無効にしました。また、SymLinksIfOwnerMatchを有効にするため、ユーザーごとに.htaccess内の記述の置換を逐次行っております。

3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更しております。

4)3)において不正なファイルを検知したお客様のサーバー領域へ再度不正なファイルがアップロードされないようにWAF(Web Application Firewall)を随時有効にしております。

結局、クラッキングはWordPressのプラグインやテーマの脆弱性だけの問題ではなく、その脆弱性を侵入経路としてロリポップ!のパーミッションの設定不備を利用されたことが原因であった、ということでひとまずは他のホスティングサービスについては影響はなさそうな感じですね。

追記の追記

どうもWordPressの脆弱性は関係ないようで、サーバのパーミッション設定不備が原因のようです。

GMO(ロリポップ)その他で今日も激しくサイト乗っ取りが横行している件で(追記あり)

WordPressの脆弱性をつぶすのは当然ですが、ホスティングサービス側の問題だとなると、やはり信頼をおけるサービス以外は使えないですね。


弊社では、長年、主にWeシステム開発を必要とするWebコンサルティングに携わって来ましたが、RFPの作成、プロジェクトマネジメント、システム設計及び構築、運用といった段階から「ゴール」を目指す、という事も行なっております。

まずは、現状の問題点を洗い出す「監査」や「Web解析」も行なっておりますので、Webサイト構築、Webサイトリニューアル、Webシステム構築・リニューアルをご検討の場合には、是非ご相談下さい。

タグ: , , , , , , ,
Nexusシリーズ まとめ バナー データ通信SIM まとめ バナー 二見・鳥羽・伊勢神宮 まとめ バナー

検索

ウチムラヒロシ アイコン 運営者:ウチムラ ヒロシ

神戸出身。 コラムを書いたり、コンサルティングしたり、企画書を書いたり、コードを書いたり、サーバ組んだりしてます。

関連サイト

喰意地 kuiiji