ハニーポッターの部屋 このページをアンテナに追加 RSSフィード Twitter

QLOOKアクセス解析

2013-08-30 GMO ロリポップ不正アクセス騒動をまとめてみた。(メモ) このエントリーを含むブックマーク このエントリーのブックマークコメント

昨日から、Wordpress関係のWeb改竄がJPドメインに対して行われています。低価格のblogサービスを提供しているサイトのロリポップGMOのInterQなどが被害を受けているようです。

原因は.htaccessとwp-config.phpの初期パーミッション

.htaccess → 644

◆wp-config.php → 444

だったようなので、同一サーバ内のユーザが侵入された場合、他のユーザの情報も閲覧可能であったため、wp-config.phpからDB情報(table名、ユーザID、パスワード)を取得して各ユーザのDBに不正アクセスしたのではないかと思われます。

公式見解が出ていないため、あくまで推測です。

最終的に

.htaccess → 644→604→600

◆wp-config.php → 444→404→400

へアクセス権を変更したようですが、それでも、不正アクセスを受けているのは、DB情報(table名、ユーザID、パスワード)がだだもれして、ハッカーサイトに情報が漏洩して、中華も参戦してやられ放題なのが、今の現状かな?

当初、ホスティング会社としては、被害を受けたのは、あくまでユーザの設定ミス(本当は、システム側の初期設定ミスだと思う)という立場のようですが、昨今まれに見る初動の失敗ですね。

どうも、ロリポップMySQLのDBへインターネットから接続し放題だったようですし、当初のロリポップが指導していた本事案のセキュリティ対策もピントはずれだったし、被害者にはもうしわけないですが、ものすごく、今年度を代表する事例となってしまいました。

昨日、facebookのほうにまとめていましたが、あまりに被害が広がっているので、情報提供の一助となればと、はてな の方に公開しておきます。

ちなみに、AWSなんかへの民族大移動も起きているみたいなんで、ロリポップさんは、本当にちゃんとやらないと、ユーザ、みんな逃げちゃうと思いますよ。ほんと。

気がついた情報はまた追記していきます。

【追記:】

当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について

http://lolipop.jp/info/news/4149/

[2013/08/30 19:13 追記]から、WordPressのプラグインの脆弱性から、特定ユーザに侵入、その後、wp-config.phpパーミッションミスから、すべてのユーザのwp-config.phpファイルの中身を抜かれて、対策後は、漏洩したDB情報を元に不正アクセスが続いていたようです。

昨日の昼以降の対応は、悪く無いと思いますが、ファーストサーバの事例と同じく、未検証の設定を流し込んでしまって、被害が拡大したりと、緊急対応の準備が全く足りていなかったことで2時被害が出てしまっています。これもまた、良い事例になってしまいましたね。他山の石として、皆さん、事前対策が重要だということを学びましょう。

【2次被害】ロリポップサーバーの予告無しフルパス変更で影響が出た人続出

http://matome.naver.jp/odai/2137777056565722101

ロリポップMySQLサーバのインターネット外部へのポート開放も、対策されたんですかね?

公式発表はないようですが・・・

[MySQL] ロリポップは、MySQLサーバにグローバルから接続できる(ものがある)?

http://d.hatena.ne.jp/ozuma/20120503/1335975957

■Web改竄情報
下記のURL参照は大丈夫ですが、ここから、ミラー閲覧注意。ウィルス感染する可能性があります。
Zone-H
http://zone-h.org/archive
wp-login.php が軒並みやられています。
JPドメイン Web改竄速報
http://izumino.jp/Security/def_jp.html
ツイッターアカウント
https://twitter.com/def_jp

■関連記事
【緊急警報!!】ロリポップGMOのinterQのWordPressが軒並み乗っ取られてます
http://www.landerblue.co.jp/blog/?p=8402

続) ロリポップWordPress大量乗っ取りについての推測と対応
http://www.landerblue.co.jp/blog/?p=8416

ロリポップ騒動から、AWS移行で死んだ日
http://www.landerblue.co.jp/blog/?p=8448

サイト改ざん警報:WordPress でのパーミッション設定に気をつけろ!
http://blogs.itmedia.co.jp/sakamoto/2013/08/wordpress-f918.html

【2次被害】ロリポップサーバーの予告無しフルパス変更で影響が出た人続出
http://matome.naver.jp/odai/2137777056565722101

もともと、Wordpressを狙った攻撃は4月〜多発しています。

WordPress利用者は至急確認を! 19万5千サイトを改ざんしたボット「Stealrat」の感染確認方法
http://reynotch.blog.fc2.com/blog-entry-583.htmlホスティング会社の見解
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について
http://lolipop.jp/info/news/4149/
1)セキュリティ面の強化の為、下記のお客様のサーバー領域に設置されているWordPressにおいて、wp-config.phpパーミッションを「400」に変更いたしました。
2)全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更いたします。

ロリポップ!レンタルサーバーより、セキュリティに関する重要なお知らせです
https://lolipop.jp/security/

対策にadminユーザのユーザID名とパスワード変更が抜けている気がします。
あと、DBのID、パスワード変えろというのも抜けている気がする。

■Wordpressのセキュリティ対策
HASHコンサルティング株式会社代表の徳丸浩が書く会社公式ブログです。
http://blog.hash-c.co.jp/2012/12/how-to-protect-your-wordpress-on-lolipop.html
安心の徳丸印。

「WordPressの守りを固める」のまとめの章の訳
http://ja.naoko.cc/2013/04/13/wordpress-brute-force-attack/

WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
http://wp-d.org/2012/10/18/806/

WordPress のユーザー名 admin を変更してみる
http://8bitodyssey.com/archives/4007
新規にAdmin権限のユーザを作って、移行する場合

WordPressのadminユーザー名を変更するプラグイン
http://five-four.co.jp/design0003/
プラグ員を使って、adminユーザ名を変更

WordPressへの不正アクセスログを記録して見せてくれるプラグイン Crazy Bone
http://www.msng.info/archives/2013/05/wordpress-crazy-bone.php

WordPressのセキュリティを徹底強化
http://csspro.digitalskill.jp/チュートリアル/ワードプレス/wordpressのセキュリティ強化/

WordPress初心者向け セキュリティ強度をできる限り上げる方法
http://www.landerblue.co.jp/blog/?p=7410

WordPressのセキュリティ対策プラグイン10選
http://netaone.com/wp/wordpress-security/

WordPressでのセキュリティ対策
http://matome.naver.jp/odai/2133777080336131701

WordPressのセキュリティを見直して、“4つ”導入してみた!!
http://andask.net/create/review-the-wordpress-security.html