kajitaniさん
readme.html, wp-config-sample.php, wp-includes/version.php の通知は、日本語版を使っている(翻訳されている)のが理由で、今回改ざんされたのではないでしょう。
プラグインの方で “See how the file has changed.” リンクをクリックしてどのように変わっていたのか教えてもらえると半分くらい興味本位で知りたいです
私のブログも被害に遭われた皆さんと同じ状況でした。
◆私もロリポップです
◆今日の朝に確認したら文字化けしてた
→ UTF-7に変わってたのでUTF-8に戻した
◆管理画面のサイト名、キャッチフレーズが皆さんと同じく改ざんされてた
→ 元に戻した
◆サイドバー等のウィジェットが全部削除され、代わりにヘンなウィジェットが追加されてた
→ 削除した
◆管理者アカウントは「admin」ではなかったが、ドメインから想像しやすい名前にしてた
→ 新たに管理者アカウントを作成し、元のは削除
◆パスワードもそれほど単純じゃなかったのに
→ 念のためパスワードも変更
上記作業の結果、現時点では正常に表示されてます。(ウィジェットは一部復旧できず消えたままですが)
その他、こちらのページを見て対策したものとして
◆プラグイン「Exploit Scanner」でスキャン
→ “Modified core file” と書かれた項目は無し
◆ロリポップとFTPのパスワードを私も初期のままにしてたので、変更しました。
現状はひとまず表示されてますが、最も不安なのは「再攻撃の危険性があるのか」、「何か他にしておくべき対策があるか」です。
リストアップされた中に自分のを見つけた時は背筋が凍りました。
引き続きこちらのフォーラムを参考にさせて頂きます。
riku1014132さん、報告ありがとうございます。
一般的にWordPressのセキュリティとしてやっておくべきことはされていると思います。
これは全くの私見ですが、現時点でのみなさんの報告を総合すると、wp_optionsテーブルの中身しか書き換えられていないため、WordPressが狙われたのは単にユーザーが多いからで、ハッキングを受けたのはMySQLではないかと疑っています。
1. 再攻撃の危険性はありえます。
2. 現時点では原因が不明のため明確な対策は立てられません。
引き続き情報提供を待ちます。
そういう意味では、データベースの接頭辞(wp_)を変更されているかどうかの情報を提供していただければ関係あるかも、しれません。kajitaniさんの場合親サイトしかハッキングされていないということですが、子サイトはwp_optionsではなくwp_1_optionsのようになりますからね。あくまで推測です。
私もロリポップでWordpressを使用しています。
タイトル、文字コードは修正出来ましたが、未だサイトが表示されていません。
プラグイン「Exploit Scanner」でスキャンしたところ
hashes-3.6.php missing
The file containing hashes of all WordPress core files appears to be missing; modified core files will no longer be detected and a lot more suspicious strings will be detected
このような項目がありました。
hashes-3.6.php missing
残念ながらExploit Scannerは3.6用に更新されていないようです。リンク先のトピックにてtenpuraさんが3.6日本語版用のハッシュファイルを配布されているので、そちらをアップロードしていただければチェックできます。
lushbearさん
> タイトル、文字コードは修正出来ましたが、未だサイトが表示されていません。
とのことですが、管理画面は正常に表示できるが、サイトは表示できないということでしょうか?真っ白あるいはエラーメッセージが表示されますか?
皆さんと同じ症状です
・ブログタイトル・副題の改ざん
・文字化け
・個別ページ表示不可
私もロリポップ(チカッパプラン)でWORDPRESSを使っています。
というか、3日程前にインストール(最新バージョン)したばっかりです。
ユーザはadminからドメイン名に変更
MySQLの接頭辞は(wp_)のまま
という状態でした。
1年ほど運営しているXOOPSでは無かったのに・・
3記事しか投稿していなかったのでDBごと削除して
・ユーザー名、パスワード・接頭辞を特定されにくいものに変更
・Crazy Bone、Limit Login Attempts、Secure WordPressプラグイン導入
・.htaccessでwp-config.phpを保護
して再インストールしました。
>hissyさん
私のMySQL接頭辞は「wp1_」でした。
>lushbearさん
私もタイトルと文字コードを修正した時点ではブログが正常に表示されず真っ白のままでした。
管理画面の外観>ウィジェットを見てみると、自分が設置したオリジナルのウィジェットが
全て消された状態で、代わって改ざんされたウィジェットが1個だけ登録されていたので
それを削除するとブログが正常に表示されるようになりました。
無事表示されるといいのですが…
> lushbearさん
ウィジェットを削除される際は消す前に中身を教えてもらえると参考になりますです
> riku1014132さん
情報提供ありがとうございます。ウィジェットがなにやらやらかしてるみたいですね。接頭辞は一応変えてたんですね。
> momo96chさん
情報提供ありがとうございました。ユーザー名をドメイン名にするのは推測しやすすぎるので、admin以外で何か関係のない適当な名前にした方がいいと思います
Hacked by Krad Xin で検索した日本語サイト3560件のうち
トップから、9件ドメインを調べてみましたが、すべてlolipopのようですね
lolipopに、照会して、何らかの回答を得られた人はいますか?
私の環境もロリポップで、お世辞にもセキュリティ対策がなされているとはいえず、
少なくともadminではないくらいですが、特に問題はありませんでした。
・ロリポプラン
・MySQLサーバは比較的後ろのほう
・WP3.5.1
・ウィジェットはカテゴリーと最近の投稿くらい(あとSNSリンク用)
UTF-7形式によるXSSがあるんですね。
方法としては特定のファイルをUTF-7にして、その脆弱性からXSSを引き起こしたのでしょうか。
文字エンコーディングが関係するとなると、テーマの問題?
素人考えの域を出ませんが、できることがありましたらお手伝い致します!
>hissyさん
ご回答有難うございます。
申し訳ありませんが、ウィジェットは既に削除してしまいました。。
ウィジェットの中身はTEXTで、中にスクリプトタグと2行ほどのスクリプトが記載されていました。
削除したところ無事サイトが表示されました。
あくまでハッカー本人の説明を鵜呑みにするならWordPressの問題ではないですね。
【重要】みなさんwp-config.phpのパーミッションは何にされてますか。
再発を防ぐため、また今後のハッキングを防ぐため、ロリポップの「サイト改ざんへの対策をお願いいたします」ページの指示に従い、404に設定してください。
念のためMySQLのパスワードの変更が可能であれば実施してください(ロリポユーザーではないので可能かどうかは分かりません)。
また、特に下記の点につきましてご注意くださいますよう、お願いいたします。
– 「.htaccess」ファイルが書き換えられる事例が多発いたしております。
パーミッションが「604 (rw—-r–)」であるかご確認ください。
– WordPressをご利用の場合「wp-config.php」のパーミッションは「404 (r—–r–)」であるかご確認ください。
http://lolipop.jp/security/
【追記】先ほど下記のようにパスワードの変更ができると申し上げましたが、
これはあくまでphpMyAdminへのログイン用パスワードなので、
WPを使う文には変更の必要はありませんね。
ユーザーへの権限が与えられていないので、パスワードの変更はできませんでした。
大変失礼いたしました。
—–
hissyさんの仰っていたパスワードの変更は、phpMyAdminから可能です。
(phpMyAdminへのログイン用パスワードの変更です)
1.ロリポップユーザー専用ページの
WEBツール>データベース から phpMyAdmin を開きます。
2.ユーザー専用ページに記載されているパスワードやサーバ名などでログインします。
3.画面にある「パスワードを変更する」をクリックしてパスワードを変更します。
「生成」ボタンで自動生成されるパスワードが長くてお勧めです。
パスワード変更・参考画面