>ystm さん
対応をスルーされたのかと不安になりましたので、書き込んでいます。
不安になっているなら自分で対応するべきですよ。
対応が遅れるだけ被害が増えるんですから。
ロリポップユーザーではないので報告メールが来ているかどうかは分かりませんが、来ていないのなら不幸中の幸い。今のうちにサイトを復旧し、ファイルが書き換えられていないか、不審なファイルが勝手にアップロードされていないか確認することをおすすめします。放置していると、強制的にパーミッションが変更されWordPressが使えなくなるようです
>ystmさん
私も確認しましたが、メールも届いておらず、パーミッションも400にはなってませんでした。
だったら自分でしちゃえ、ってことで先ほど手動で400に変更しました。
いろいろと不安になりますね。
「サイト改ざんへの対策をお願いいたします」ページも、wp-config.phpのパーミッションは400にするようにと改定されました。ここが原因に近い部分と考えられますので被害に合っていないユーザーの方も変更をおすすめします。
https://lolipop.jp/security/
こちらのページも随時情報が更新されるようですので、このページと同ページ内にある「Webサイトが改ざんされてしまったら?」のタブもチェックし実行することをおすすめします
ystmさん、ロリポップから以下のようなメールが届いていました。
平素よりロリポップ!をご利用いただき、誠にありがとうございます。
現在、ロリポップ!において、第三者からの大規模攻撃により WordPress を
ご利用中のお客様のサイトが改ざんされる被害が発生しております。
お客様には、多大なるご迷惑をおかけしており大変申し訳ございません。
この攻撃に伴いセキュリティ面の強化の為、
下記のお客様のサーバー領域に設置されている WordPressにおいて、
wp-config.php のパーミッションを「400」に変更いたしました。
アカウント:アカウント.lolipop.jp
wp-config.php は WordPress の動作に必要な
設定情報が書き込まれたファイルです。
この変更によるサイトの動作等への影響は無いことを確認の上
変更を行っておりますが、万が一サイトの動作等でご不明な点がございましたら
ユーザー専用ページ内『お問合せ』よりご連絡ください。
FTPで確認したところパーミッションは変更されていました。
2)全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更いたします。
となってますのでWordPressが使えなくなるわけではないと思います・・・
nobitaさんのスクリプト試された方いますか?ロリポユーザーの方が動作検証に協力していただけると良いと思います。
WordPressが使えなくなるわけではないと思います
追加されている場合はいいですが、WordPressの動作に必要なファイルが改ざんされていると…
みなさん、ありがとうございます。
>riku1014132さん
メール届いていない方もいるんですね。単純に遅れているだけならいいのですけど。
公式アナウンスがあった時点で、400に変更されていませんでしたので、すぐに変更しました。
不安になったのは発表された4,802件から漏れているのではないか、と思ったからです。
分かりにくくてすみません。
サイトは新しく入れなおす方向で、準備しています。
はじめまして。
昨日はなんともなかった自サイトのワードプレス3つのうち2つが、今朝になって改ざんされており、びっくりしてこちらのフォーラムまでたどりついた次第です。
利用サーバーはロリポップです。
ところで少し気になっていることがあり、何か手がかりになればと思い投稿させていただきます。
2週間ほど前(8/15頃)、私が2013/6/20頃にロリポップにワードプレスを設置したクライアント(Aさん)から連絡があり、サイトのヘッダー部分に変な文字が出ているので修正して欲しいという連絡がありました。
Aさんのheader.phpを見ると、記載した覚えのない長い長いコードが記載されていました。
もう一人、別のクライアント(Bさん)のワードプレス(ロリポップ、2013/7/30頃設置)のheader.phpにも同じような記載した覚えのないコードがありました。
そのとき少し危険なカンジがしたので、そのコードを全て削除しました。
そして一昨日頃、Bさんのワードプレスのheader.phpに同じようなコードがまた仕込まれていたので再度削除。
改ざんを受けた自分のワードプレスのheader.phpは8/15にしか見ておらず、もしかしたら再度コードを埋め込まれていた可能性があります。
そして本日、自サイトのワードプレスが改ざん。
Aさん、Bさんのワードプレスは無事でした。
改ざんを受けたワードプレスのheader.phpには、残骸らしきものは特になにもありませんでした。
なお、そのコードは危険と思われるため全て記載はしませんが、
・先頭に#6桁の英数字#
・上記の文字のあと、はじめの方にjavascriptの宣言があります
・「1e:32:4:1:17:6d:」といったような2桁、もしくは1桁のランダムな数字及び英字が4000文字ほど続きます
・最後に#/6桁の英数字#(先頭の英数字と同じ)
です。
場所はheader.php内の一番最後にありました。
やたら長いので、とても目につきます。
埋め込まれたコードは、Aさん、Bさんとも全て上記の形式で、Bさんのは4782文字ありました。
もし、ワードプレスに上記のような覚えのないコードがあるようでしたら、削除されることをおすすめします。
ひょっとしたら今回の件に全く関係ないのかもしれませんが、何かの参考になればと思います。
>Tomoko Miyawakiさん
情報ありがとうございます。そのタイプの改ざんの場合はFTPのパスワードを変更し、今後はFTPは使わないようにしてください。
管理画面での文字コードについて追記です。
WordPress3.5 以降のインストールでは、管理画面での表示が無くなっています。
http://wpdocs.sourceforge.jp/Version_3.5#.E8.A8.AD.E5.AE.9A
データベースを直接編集して、文字コードを utf-8 以外にしたところ、
管理画面で設定項目が出るようになりました。
なので、utf-7 に書き換えられていれば、管理画面で設定項目が出ます。
データベースを直接変えるとたぶん古いキャッシュが残るので、
リアルタイムでは表示が変わらない可能性が高いです。
>hissyさん
ありがとうございます。
そうだったんですね。
バックアップのためにFTPを接続してしまいました…。
早速パスワードを変更して、FTPを使わないようにします。
> Tomokoさん
FYI: FTPS(FTP over SSL)に対応いたしました http://lolipop.jp/info/news/3061/
公式から転載。自分でできる人は先にやっておきましょう。
[2013/08/29 13:26 追記]
本日10:57 にお知らせしております「ロリポップ!レンタルサーバー」の対策につきまして現在の進捗をご報告いたします。
1)セキュリティ面の強化の為、対象となるサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしましたが、さらなる被害拡大を防止する対策として、被害が確認されていないWordPressサイトにつきましても、wp-config.php のパーミッションを「400」に変更する作業を進めております。
本対策の対象となったお客様には変更作業が完了次第、ご登録メールアドレス宛に別途、メールで本件をご報告いたしますので、ご一読くださいますようお願い申し上げます。
※詳細につきましては、先のお知らせをご確認ください。
2)引き続き、全ファイルに対してウィルススキャンを実行しており、現在の進捗状況は約33%となっております。
不正なファイルを検知した場合、全該当ファイルのパーミッションを「000」に変更し、該当ファイルにアクセスできないようにします。
http://lolipop.jp/info/news/4149/
