1時間ほど前に “R.I.P lolipop part 3 3000+” として追加で改ざんサイトのリストが公開されていました。その他に主義主張めいたメッセージがありますが有用な情報はないので無視します。目立ちたいんやろな。URLは参考情報として転載します
http://pastebin.com/30y7u1Z6
ここまでの対策をどなたかまとめて書き込んでもらえないかな〜
昨晩22時頃にconfigは400にしたほうがいいのでは?とメールサポートに送っていたのですが、先ほどようやく下記メール回答がありました。
WordPress自動インストールの際のWordPress関連ファイルのパーミッションは
config系のphpは644でしたが、現在自動インストールにおいて400で設定する仕様に修正いたしております。
おそらくサポートがパンクされてるんだと思いますので、引き続き当フォーラムでもできる範囲で助け合えればと思います
【ここまでのまとめ】
・対象となっているWordPress
-ロリポップ(http://lolipop.jp/info/news/)
--設置した時期についてはバラバラ。恐らくサーバー番号やIPで狙われている可能性。
■症状(☆マークのついたものに該当する場合は要注意)
☆上部のアドミンバーに「Hacked by Krad Xin」等の文字が追記されている
☆-header.php下部に見知らぬコードが追加されている
☆サイト全体が文字化け
☆ウィジェットが変更され、更に見知らぬ内容が追加されている
☆管理アカウントが追加されている
-各所、ページの表示が不可能となる
☆見知らぬファイルが追加されている(詳細は不明、情報求)
■対処法
・wp-config.php、必ずパーミッションを 400に変更
・.htaccessはパーミッションを 404に変更
・コアファイルの改竄がないか検証(詳細:http://ja.forums.wordpress.org/topic/2743)
・アドミンバーへの文字の追加
→header.phpに追加された見知らぬ文字の羅列の削除
・サイト全体の文字化け
→管理画面の設定項目で「UTF-7」→「UTF-8」に変更
→データベースから変更する場合、_optionsのblog_charsetをUTF-8に変更
・ウィジェットやユーザーアカウント
→覚えのないものは全て一旦削除
・各所、ページの表示が不可能
→.htacessの更新が必要となりますが、今対応でアクセスを閉じているため管理画面からは弾かれます。生成されたコードを直接、FTPSでアップロードしましょう。
・FTPを使用したファイル転送はやめましょう
→FTPS(FTP over SSL)に対応いたしました
【注意】
一連の症状からすると、悪意のあるjavascriptを用い閲覧者にどのような影響を及ぼす恐れがあるか不明であるため、無闇に本件に関わる外部のURLにアクセスすることはやめましょう。また、意図しない被害の拡大を避けるため無闇にURLを貼ることは控えましょう。
引き続き、何か問題が発生したり新たな情報がある方は、早期解決のためにも情報提供にご協力をお願い致します。
割り込み投稿になるかもしれませんけれど・・・
Wordpress サーバー設置セキュア方法
1.FTP アクセス制限を設定しておく。
.ftpaccess
(記載例)
<Limit ALL>
Order Allow,Deny
Allow from ここにFTPアクセスするPCのIPアドレス
Deny from all
</Limit>
2.サーバーの仕様により変わるかもしれませんけど、最悪でも以下のファイルパーミッションを使用する
wp-config.php 604
ロリポップでは「400」なので、ヘテルムでも同様かと想います。
3.ログインページに、captcha などを追加する
Wordpress なら公式 Plugin でありますし。
または、wp-login.php のあるフォルダに .htaccess を設置して、自分のIPアドレスでだけアクセス出来るようにする
4.各フォルダのパーミッションは「705」にする
設置時に出来る方法としてはこのような感じになるかと想います。
また日常管理に、
1.Akismet で「スパム」とされたコメントの IP アドレスは、.htaccess でブロックする
(記載例)
# IP Address Block
order allow,deny
allow from all
deny from ここにスパムブロックされたIPアドレスを記載
などを行うのも防御策になるかと想います。
(o*。_。)oペコッ
ロリポップでデータベースのパスワードを変更する方法、どなたかご存知でしたら教えてください
ヘテムルでは随時パーミッションの変更が施される模様。
セキュリティ面の強化、および改ざん防止としてお客様のサーバー領域に
設置されている WordPress のファイル wp-config.php のパーミッションを
ヘテムルにて『400』に変更させていただきます。
同変更により、wp-config.php が外部から「読み取り」、「書き込み」、「実行」が
行えない状態となります。
≪重要≫WordPressを利用したサイトの改ざん防止策のお知らせ
>hissyさん
ロリポップでデータベースのパスワードを変更する方法、どなたかご存知でしたら教えてください
念のため、ロリポップの管理画面を一通り確認しましたが、設定はないですね。もちろん、SQL文も弾かれるようです。
ロリポップを使用していませんが、私が行っているセキュリティ対策をご紹介します。
1. ログインのアクセス制限
.htaccess に以下を記述する。
<Files wp-login.php>
Order deny,allow
Deny from all
allow from ログイン許可IPアドレスやドメイン
</Files>
2. ブルートフォースアタックをしてくるUAのアクセス制限
.htaccess に以下を記述する。
SetEnvIf User-Agent "^Mozilla/3\.0 \(compatible; Indy Library\)$" deny_ua
Order allow,deny
allow from all
deny from env=deny_ua
※ アクセスログの解析から、Indy Libraryは不正ログインしかしてきません。
その他、RBLでスパムサイト認定されたサイトに対してはアクセス制限しています。
私はAll In One WP Security & Firewallというプラグインを使用しています。
これで、config や htaccess へのアクセス禁止の設定なども出来ます。
>hissyさん
常用していないのですが、テスト用アカウントを作ってみて確認しました。
ロリポのmysql DBパスワード変更は以下のとおりですが、お勧めできるかは…です
1. ロリポの管理画面に入る
2. Webツール→データベース
ここで、ユーザー名とパスワードが確認できる
3. phpMyAdminへのリンクがあるのでクリック
4. phpMyAdmin上の「一般設定」→「パスワード変更する」をクリック
ただしこれを行った場合、ロリポで管理されているPWと、phpMyAdmin上でのPWが相違することになります。たぶんDB削除時に削除できなくなるかと(削除はロリポ管理画面側のPWを使用すると思われます)
以上
> tama200xさん
一応可能ということですね。削除できなくなるのは微妙だな…。wp-config.phpのパーミッションを変える指示が出ているということはほぼその中身が読まれちゃったという意味だと思うので、wp-config.phpにかかれている内容、すなわちデータベースのアクセス情報を変更する必要があると思うのですが…。うむむ
> みなさま
色々情報提供有難うございます。ただ、WordPressのセキュリティの一般論にまで話を広げると混乱するので、今回の連続改ざん被害に直接関係があると見られるものに的を絞りたいと思っています。有志によりCodexにまとめページを準備中です
追記されましたので引用します。wp-config.phpのパーミッション変更済みとのことですが、念のため変わってるか確認されたほうが良いかもしれません。引き続き公式からのアナウンスに注意しましょう
[2013/08/29 16:37 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関する、調査と対策につきまして現在の進捗をご報告いたします。
1)ロリポップ!のユーザーサーバー上にあるWordPressについて、全ユーザーのすべてのwp-config.phpファイルのパーミッションを「400」に変更する作業が完了いたしました。
2)引き続き、全サーバの全ファイルに対してウィルススキャンを実行しております。現在の進捗状況は約50%となっております。
発見された不正ファイルについてはパーミッションを「000」に変更し、該当ファイルへのアクセスできないよう対策を行っております。
なお、ただいま被害拡大を防止する対策を継続しておりますが、現在までの調査で、本日10時57分時点で発表させていただいた被害件数4,802件より増える可能性が出てまいりました。
被害拡大防止対策と同時に、サイト被害状況を早急に確認しておりますので判明次第、改めて本サイトでご報告させていただくと共に、対象のお客様へは、ご登録メールアドレス宛に別途、メールで詳細をご報告する予定でございます。
http://lolipop.jp/info/news/4149/
管理者のNaoさんからまとめ投稿が作成されました
「ロリポップサーバーでサイト改ざんハッキング被害に遭った方への情報」
http://ja.forums.wordpress.org/topic/24573
こちらに確度の高い情報はまとめられますので今北さんは参考にしてください。こちらができたので以降公式の引用転載はやめておきます
今更な質問なのですけど、被害に遭われた方は、PHP のバージョンはいくつを使用していたのでしょうか?
ロリポップは、PHPのバージョンを選択出来てphp.ini設定も変えられるのですけど、この辺はどのようにして使用されていたのでしょうか?
(o*。_。)oペコッ
対象となるサーバー領域に設置されているWordPressにおいて
と云う事なので各々の問題ではなく本体側の脆弱性を突かれた結果ではないかと思います。
