サポート » 使い方全般 » サイト改ざん?

  • サイトが急に文字化けになり、困っております;;
    Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが改ざんされてしまったのでしょうか?

    私の環境です。
    PHP:バージョン3.4.9 MySQL:バージョン5.1.34
    MySQL の文字セット:UTF-8 Unicode
    使用しているブラウザ名称とそのバージョン (Windows XP Internet Explorer 8)
    WordPress 3.6 を使用中
    使用テーマ http://www.dessign.net/ultra-grid-theme/
    Ultra Grid Themeを利用しています。
    http://angedeverre.info/ 私のサイトです。
    (世話役追記:改ざんされた可能性のあるサイトです。アクセスされる方は十分にご注意ください。)

    直すための参考になるページなどありましたら教えてください><

    宜しくお願いいたします。

15件の返信を表示中 - 121 - 135件目 (全138件中)
  • すみません、重複削除(;´Д`)

    WordPressの公式からインストールできるテーマやプラグインは、脆弱性が発見されても更新されていないものも多数存在します。

    ですから、ロリポップさんから狙われたテーマやプラグインの発表を待ち、該当のモノの利用を控えるという措置をとる必要はあるかと思います。

    モデレーター Takuro Hishikawa

    (@hissy)

    あいかわらず詳細情報が出てこないので私の個人的な見解をまとめておこうと思います。あらかじめお断りしますが、私はロリポップさんのアカウントも持っていないし、実際に検証もしていません。当トピックに何気なく回答した結果、予想外に改ざん被害が多く、また何度か回答しているのを見たWordPressユーザーさんからの情報提供があり、それを受けて独自に調べた内容からの推測です。

    私がこのトピックに気づいたのは28日の15時頃です。報告されたサイトを見に行くとハッカーの名前とグループ名が分かりました。

    彼らのFacebookグループを見ると今回以前にクラックしたURLのリストにもlolipop.jpドメインが見受けられ、以前から改ざんを行っていたものと思われます。ただし、今回のような1000を超える大規模なものではありません。おそらくですが、こちらは本当にWordPressの既知の脆弱性やゆるいパスワードをつかれて侵入されていたのでしょう。GMOの方の当初の反応も、この事実を把握していたからではないかと思います。私もときどきフォーラムで改ざん被害者を目にします。これはロリポップさんに限らず、誰にも可能性がありますので、WordPressのコアを新しいバージョンに保ち、適切なパスワードを設定することは非常に重要です。

    しかしながら、今回の “R.I.P lolipop part 1” が異質であると感じたのは、まさに名指しであったからです。名指しである以上、ロリポップに特有の問題をクラッカーが見つけてしまったのだと考えられます。また、「576サイトを一撃で(in a single shot)ハックした」と書かれていました。一撃というからには、一撃なのでしょう。576サイトを個別にハックしたのではなく、1回のハックで一度に改ざんした。ということは、通常共有サーバーではどんなパーミッションでアップしていてもお隣のユーザーのファイルにはアクセスできませんが、何らか見ることのできる穴があったと考えられます。

    また、Facebookページを見ると、ユーザーがどんな手段を使ったのか?という質問をしていて、ご丁寧にも “symlink, mass deface” と回答していました(現在は削除されています)。それを手がかりにちょっとググると、シンボリックリンクの脆弱性をついた共有ホスティングのハッキング方法が色々見つかりました。また、同時にWordPressとJoomlaのサイトタイトルを変える方法までセットで解説してありました。また、その間にフォーラムに寄せられた情報も、それを裏付けるものでした。やられているのはwp_optionsの一部の書き換えで、ほとんどのユーザーでPHPの改ざんはなし。ただし、一部のユーザーでは不審なファイルのアップロードと.htaccessの改ざんが見られる。

    28日の20:30時点で、フォーラムでの情報とハッキング方法を調べた結果を照らしあわせて、サーバー内の一部のWordPressから攻撃スクリプトがアップロードされ、そのツールを使って.htaccessを変更、シンボリックリンクを有効にした上でその脆弱性を利用して同じサーバー内のwp-config.phpを入手、そしてアップロードしたPHPから正規のデータベースのパスワードで情報の書き換えを行った、というシナリオに確信が持てました。となると、wp-config.phpを防御するのが最優先となりますので、フォーラムにwp-config.phpのパーミッション変更をお願いする内容を投稿しました。

    ただし、この時誤った情報を提供してしまった。このことを皆さんにお詫びしたい。私はwp-config.phpのパーミッションを当初400にするように書き込みました(多分このトピックのメール通知を受信している方は400で受信されたでしょうね)。そして、ロリポップさんから提供されている公式情報にできるだけ沿ったほうがいいと考えていましたので、セキュリティのページでwp-config.phpに関するパーミッションについて記述した部分を引用しました。ところが、ロリポップさんから提供されている情報では404でした。投稿後にそのことに気づいた私は、投稿を編集し、400を404に変えてしまいました。結果的に、400が正解だったにもかかわらず…。大変申し訳無いと思っています。

    その後の展開は、皆さん見聞きのとおりですね。GMOの方にも少し同情しています。攻撃ツールのアップロードには、個人的にはtimthumb.phpの脆弱性が狙われたのではないかと思っています。t.okuboさんの書き込みにあった cybercrime.php でググると案の定…です。

    WordPressのテーマやプラグインで広く使われていたtimthumbs.phpには、2011年に本来WordPressからはアップロードができないようにされているプログラムコードを外部からアップロードできてしまう脆弱性が発見されました。
    http://blog.vaultpress.com/2011/08/02/vulnerability-found-in-timthumb/

    ロリポップさんとチカッパさんでWordPressの簡単インストールが開始されたのが2010年ですから、この脆弱性を残したWordPressサイトがそれなりの数残っていたものだと思います。この脆弱性がWordPress内のテーマやプラグインに残っていないかは、こちらのプラグインで検証できますので、ぜひみなさんチェックしてください。
    http://wordpress.org/plugins/timthumb-vulnerability-scanner/

    現在ではこのライブラリの脆弱性も修正され、もう2年経ちますので、さすがにほとんどの方はそれ以降のバージョンにバージョンアップしていると思います。バージョンアップは非常に重要なのです。

    しかし、この脆弱性があるWordPressが侵入経路になったのはたまたまで、そこからサーバー全体に影響をおよぼす深刻な影響をもたらしてしまったのは、サーバー側の脆弱性だと思います。原因はロリポップさんも最初から分かっていて、だから旧チカッパ時代のフルパスを使えるようにしていたシンボリックリンクを突然切ったのでしょう。また、自動インストールで提供していた各CMSのパーミッションとオーナーを変更されているのでしょうね。ちょっとググれば分かる程度のことを、なぜ発表しなかったのかちょっと理由が分かりませんが、現在行われている対策は私が調べた範囲からしても妥当だと思っていますのでこのまま対応を見守りたいと思います。

    最後に、たくさんの知人からロリポップ以外のサーバーでもwp-config.phpを400に変えたほうがいいのか、と質問されました。Twitterを見てるとwp-config.phpのパーミッションの設定次第でお隣さんからのぞかれてしまう、それが共有サーバーでは当たり前だ、情弱乙、という書き込みも見られましたが、基本的に他人の領域が見えること自体ありえませんし、ロリポップさんも見えないようにしてありました。ただ、apacheの脆弱性が発見されそれを利用されたということです。過剰に心配する必要はないと思います。400にすべきかどうかも、サーバーの設定により一概には言えませんので、基本的には各レンタルサーバーのマニュアルをよく読み、指示にしたがってパーミッションの設定を行うことをおすすめします。

    まとめ
    ・WordPressの脆弱性だけでここまで大規模な被害がひとつのサーバーに集中することはありえない
    ・wp-config.phpのパーミッション変更は被害の拡大を防ぐためのもの。根本的な原因はサーバー内の他人のファイルが見えてしまうという穴が見つかったため
    ・しかし、侵入経路としてユーザーの多いWordPressの古い有名な脆弱性が使われたと思われる。バージョンアップは非常に重要

    しかし、午前8時段階で出ている情報はまだまだ全然はっきりしないので、もっと詳細な報告が出ることを期待しています。
    http://lolipop.jp/info/news/4149/

    彼らのFacebookグループではすでに関心は移ってるみたいですね。相変わらずハッキングしたサイトの自慢が更新されていっています。”R.I.P lolipop part 3″についた「いいね」はたったの11…。スクリプトキディに振り回された3日間。

    >>mebius0さん

    そういえば、確かに・・・ありますね(;´Д`)
    謹んで訂正いたします。

    でも、そういった公表は待たれていても、期待はできないと思いますよ。

    むしろ、hissyさんがまとめてくださった内容を読まれて必要があれば対策を行うなり、相談されるなりされた方が良いと思います。

    >>hissyさん

    まとめお疲れ様でした。
    Script Kiddy と言う評価ですかw
    私は、Script Kiddy と Wannabe の間位が適当かなと思っていました。(笑)

    ものすごく今さらで申し訳ないのですが
    私のサイトもみなさんと同様にHacked by Krad Xinというのにやられてしまってました

    ここでみなさんがされた対応と同じようにしようとしたのですが
    トップページが真っ白ではなくどのページに行っても
    真っ黒の画面に大きなエンブレムの画像で
    音楽までつけられこのページをハッキングしてやったぜみたいな
    英語の文章がついてました

    最初は管理画面までも同じようにやられていたので
    PCからファイルをアップロードしなおしてログイン画面を出すことはできたのですが
    パスワードも恐ろしく長いものに変えられてました

    こちらはphpMyAdminへログインして別のものに変えました

    それでログインしなおしてやっとダッシュボードを見ることが出来たのですが
    みなさんと違うところが

    ウィジェット自体が全部なくなっていて
    ページの表示もおかしくなっている
    (お使いのテーマにウィジェットはありませんになっている)

    ファビコンが勝手に追加されていて今もヘンな顔がついている

    サイトの投稿ページもほとんどなく固定ページも何枚しかないので
    わからなかったら全部削除して作り直そうと思うのですが
    今wordpressのかんたんインストールが使えなくなってるらしいので
    作り直さずにすむのならそうしたいのですが

    私自身に知識がなくてこれからどうしたらよいものかわからないので
    この時点で出来ることがありましたら是非教えていただきたく
    どうぞよろしくお願いします

    >kyoko430さん

    まずはwp-config.phpのパーミッションを変え、テーマファイルをアップロードし直してください。

    なお、その手順については私の書き込みで恐縮ですが
    http://ja.forums.wordpress.org/topic/24503/page/3?replies=125#post-65192
    こちらを参考にしていただければ幸いです。

    ウィジェットは、再度設定し直して正常に稼働することを確認してください。

    お邪魔します。

    ロリポップユーザー様は、ユーサー専用ページにログインされると、

    2013年8月31日 – 改ざんされたサイトの復旧方法について
    [2013/08/31 12:44掲載]

    というインフォメーションが掲載されていますので、まずこちらの手順に沿って回復を図って下さいませ。

    (o*。_。)oペコッ

    wannabe や、scriptkiddy 達ののFBのURLや、運動会の会場サイトのURL知っている人達は、サイト内に記載されている被害URLへは、無防備な状態でむやみにアクセスしない方が良いかと思います。

    昨日までは、私が見た限りでしたけど、そういうの無かったんですけど、今日、いくつかの記載されている被害URLで、Gumblarの亜種みたいコードが確認できていますので。

    それこそ、P2Pソフトも使っていないのに、PC内部ダダ漏れとか笑えないことになったり、コードによっては、勝手に何をさせられるか判りませんからね。

    表だって見える所は自分たちもアクセスしてもらいたい場所でもあるので、やらないとは思いますけど、それも判りませんからね。

    >>久保 綾さん
    何だか、ロリポな香りが・・・(;´Д`)
    おつかれさまです、体壊さないようにがんばってくださいね。

    モデレーター gatespace

    (@gatespace)

    ロリポップのサポートから返事が来ましたので。

    【注意】
    あくまでも公式で発表された情報を必ず確認してください。
    http://lolipop.jp/info/news/4149/

    以下の場合は公式サイトで復旧方法を記載しています。
    http://lolipop.jp/info/mainte/4152/
    ・サイトタイトルに「Hacked by Krad Xin」が含まれている
    ・サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている
    ・サイトが文字化けしている

    以下に書くのは個人で問い合わせした内容に対するサポートからの返信です。
    自分で書くのもなんですが、私の投稿も含めフォーラムの情報もあくまで参考程度にとどめてください。

    【問い合わせ内容】

    今回の御社でWordPressが原因としている改ざんについてですが、特設ページに書かれているように、WordPressあるいはそのテーマやプラグインの脆弱性が原因であれば、脆弱性のあるWordPressのバージョンやテーマ、プラグイン名を開示していただけないでしょうか?

    パーミッションを変更しても、脆弱性があるとされるファイルをそのままWebサーバー上に残しておくことが大変不安です。
    (別の方法でアタックされても困ります)

    【ロリポップの回答】

    ご連絡いただいたお問合せ内容につきましては、
    この度の件に関する詳細を公表させていただいた後に
    改めてご回答させていただきたく存じます。

    現在、弊社では状況の把握と対策を最優先しております。
    最新の情報につきましては、ロリポップ!サイト上の「
    お知らせ」をご確認ください。

    という事で、事が済んだら?回答はもらえるようですが、不透明な感じは残ります。

    復旧後、問題が無いことを確認できればデータベースとサーバー上のファイルののバックアップをとっておいた方が無難ですし、原因が(公式に)発表されない以上、最新版のWordPress、プラグイン、テーマにしておく、管理画面へのアクセス制限をかけるなどの自己防衛が必要かと思います。
    もちろん、FTPのパスワードも念のため変更しておいた方が良いでしょう。
    チカッパプランであればSSHを使えるので、SFTPでアクセス可能です。
    ロリポプランであればFTPSを使ってください。

    またwp-config.phpに以下のコードを書き加えることで、プラグイン・テーマの更新をインストール、そしてダッシュボードからの編集を無効にします。

    define('DISALLOW_FILE_MODS',true);

    http://wpdocs.sourceforge.jp/wp-config.php_%E3%81%AE%E7%B7%A8%E9%9B%86

    仮にダッシュボードに不正ログインされても、そこから不正なテーマやプラグインをアップされたり、テーマやプラグインを改変されることもなくなるので、脆弱性が分からない以上有効な手段だと思います。

    internet-pollutions 様、お疲れ様です。(o*。_。)oペコッ

    ご期待には添えません、ロリポップは一ユーザーとしてお借りしているだけです^^
    今回の騒動はいろいろいいたい事もありますけど、とりあえず、サポート側としては頑張られていると想うので、公式に今回の詳細を提示して下さい、と綾の方もお願いしているので回答待ちをしているのです。
    公式に一連の詳細がアナウンスされないと、憶測ばかりになりますし。

    それと今回の一連には関係はありませんけど、綾は念のため(SSHが利用出来るので)、
    「CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認する」
    もしておきました。
    加害者にはなりたくありませんので念のための処置です。

    (o*。_。)oペコッ

    ロリポップで「Stealrat」をサーチするコマンド
    (サポートに使用許可確認してから行いました)

    find /path/to/www/folder/ -type f -name \*.php | xargs grep "die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321"

    ≪重要≫【ロリポップ!】
    wp-config.php内の記述を書き換える緊急メンテナンスを実施いたします
    【対象サーバー】
     全WEBサーバー

    【実施時間】
     2013年9月3日(火)午前 2:00 ~ 午前 4:00
     ※終了予定時刻に関しては、作業の進捗により変更する場合があります。

    【実施内容】
     wp-config.php ファイル内の以下の記述を書き換えます。

      AUTH_KEY
      SECURE_AUTH_KEY
      LOGGED_IN_KEY
      NONCE_KEY
      AUTH_SALT
      SECURE_AUTH_SALT
      LOGGED_IN_SALT
      NONCE_SALT

    http://lolipop.jp/info/mainte/4154/
    完了報告あるまでログイン、メンテナンス(DBバックアップなど)しない方がいいかも

    >>gatespaceさん

    私が確認できただけでも、ロリポップさん、GMOインターネットさん、hetemlさん(ロリ社の子会社かなんかだったと思います。)合わせて、外から見ているだけで、例のバングラデシュの連中+別のグループと合計11人11種類ありましたので、たぶん中の人達は、もっと多くの種類の攻撃を確認されていると思いますので、その集約やら、修復・対応・対策等々で、迂闊には中間発表とかもしにくいのもあると思いますので、しかたないと思いますね。

    ところで、私ユーザじゃ無いので判らないんですけど、phpmyadminって、version いくつのが積んであるんですか?

    私が気になっているのは、件数の多さは、途中で集計やめちゃったのでなんだけど、10,000件位は楽に越えていると思うんですよね、でも、それらのIP数で見ると非常に少ないので、それらの数えるほどのIPが割り当てられているサーバ固有の問題だったのかって気もしてます。

    ちなみに、DNSベースで契約先を判断し、そういった分け方すると、GMOインターネットさんも、hetemlさんも、どちらも1つのIPだけなんですよね。(未集計分も結構ありますけど)

    彼らの運動会の競技内容が、ユニークなIPだっただけに、何とも腑に落ちないという感じもしています。

    >>久保 綾さん

    あらま、そうだったんだ、中の人では無かったんですねw
    現場の人達は、本当に寝る間無く泊まり込みでずっとされていると思いますよ。
    でも、厳しい言い方すると、今まで手をかけていなかったツケとも言えるのですけど、でもこれだけの事が起こったら、むしろ他社よりも安心して使えるような結果を生むんじゃ無いかとも思いますけどね。

    詳細なアナウンスというのは私は正直あまり期待はされない方が良いと思っています。

    そういった詳細な情報というのは、逆に開示することによって、新たな問題を生むことだってありますからね。

    私の所でもサーバ自前でそこそこの台数ありますけど、完璧な防衛なんて私は有りえないと思っているんですよね。

    外部からネットを介して見えてる以上はどんな落とし穴があるか規模が大きくなればなるほど、またそのサーバの利用者が多くなればなるほどに、なおさら誰だって断言なんかできないと思いますしね。

    極端なことを言えば、昔たまにありましたけど、ウェブベースでシェルたたけるようなスクリプトがあって、それを安易にレンサバに置いたユーザがいて(もちろんユーザ権限でログインしたまま状態です。)そのスクリプトから同じサーバを共用していた人達までとんでもない被害にあってしまったとかの例もありましたからね。

    だから、むしろ言える事はポジティブな考え方かも判りませんけど、いつどんな被害にあっても、最小限の時間で復旧できるかって事じゃ無いかなってさえ私は思っています。

    ホント、攻撃手法なんかある程度固めていると、そうそうあるわけではないので、トラップでも仕掛けて、迎撃してお土産(もちろんイケナイお土産ですけどね)でも持たせてやろうかなと思ったりしますけどね(;´Д`)

    でも、ある程度固めるとか、あるいは監視を強化するとかと言っても、過度にやると負荷の問題に遭遇したり、あるいはそういったアラートに慣れきってしまって、肝心な見落としにつながってしまうとか、別の本末転倒とも言えるような事になる場合もありますしね、その辺の妥協点の見いだし方って言うのもあるんですけどね。(;´Д`)

    無料おためし登録が生きてるようですから、誰でも登録すればサーバにアカウント作れるの、まずいような気がしてます。

    ここはロリポップが対策をすべて終えるまで静かに待っているほうが良いんじゃないでしょうか。
    改竄されていれば、もうDocumentRootの権限を000にしてエラー吐いたままにしておく方がマシなのでは。

    internet-pollutions 様

    はい、単なる一ユーザーです。^^

    確かに過度な期待はしていません、企業としてのプライドは高そうですし詳細は出さないかもしれません。
    そこを出せるかどうかを逆にみたい、とも想います。

    イタチゴッコ、と捉えています。
    うちは完璧、なんていう所があったら逆に疑います。
    共有サーバーは「素人でも扱える便利さ優先」なところも多々見受けられますし。
    そんな中で自分の場所を出来る範囲の程度はガードする、というのがスタンスですね。

    ちなみに、ロリポップ様の phpMyAdmin のバージョンは公共場所ですので控えた方がよいと想います。

    three-eye 様の情報から考えると、ほぼ全部の wp-config.php が閲覧された可能性がある、というロリポップ様の判断なのでしょう。
    明日の作業結果で、更なる混乱が起きない事を祈ります。

    (o*。_。)oペコッ

    追記:internet-pollutions様、ここはフォーラム、公共なので応答はここまでにさせて頂きます。綾のサイトは登録してありますので必要な際はご連絡頂ければと想います。
    ありがとうございました。
    (o*。_。)oペコッ

15件の返信を表示中 - 121 - 135件目 (全138件中)
  • トピック「サイト改ざん?」には新たに返信することはできません。