サイト改ざん?
-
サイトが急に文字化けになり、困っております;;
Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが改ざんされてしまったのでしょうか?私の環境です。
PHP:バージョン3.4.9 MySQL:バージョン5.1.34
MySQL の文字セット:UTF-8 Unicode
使用しているブラウザ名称とそのバージョン (Windows XP Internet Explorer 8)
WordPress 3.6 を使用中
使用テーマ http://www.dessign.net/ultra-grid-theme/
Ultra Grid Themeを利用しています。
http://angedeverre.info/
私のサイトです。
(世話役追記:改ざんされた可能性のあるサイトです。アクセスされる方は十分にご注意ください。)直すための参考になるページなどありましたら教えてください><
宜しくお願いいたします。
-
ここでも=私の所でも(訂正)(;´Д`)
あと、そういったセキュリティ系のpluginなども豊富に少し探せばありますし、名前忘れましたけど、pluginでサイトの脆弱性などを診断してくれるような管理者用のpluginもあったと思いますので、そういうのを使われ診断してみるのも吉かも判りません。
言葉足らず・・・。
特に.htaccessのパーミッションゆるいと、サーバにもよるんですけど、かな危険です。
↑
これは、WordPressのルートフォルダ(wp-config.php等があるフォルダ)のパーミッションも緩いとと言う意味です。(例0777等)なぜか、編集したい分が編集できませんw
3つ前に書き込んだ、以下の文に関しては、具体的なサイト数、及びISP数、及びIP数に関し、削除をしたいのですけどw
適切かつ、根拠に乏しいと判断したためです。Facebookのコミュニティにハッカーから第二弾のコメントが出ました。最終的な被害サイトは2900サイト以上になるとのこと。もちろん確認はできてません、多すぎますので…
patriotism or something?
but the main thing is it’s fun to you and the cyber politics
dirty bd cyber politics
R.I.P lolipop
2900+ (maybe)全ての一覧
http://pastebin.com/tvKHHJTk
なお、ハッカー名はあえて避けて引用しています。主義主張のためにこうした行為を行っているとすれば、ハッカーの名前を広めることはクラッキングの目的に加担することになると考えるからです。
R.I.P lolipop
という文言が何を意味しているのかはわかりません。あくまでクラッカーの自己申告によるものですのでご承知おきください。被害サイトのドメインを逆引きしてみた限り、意味はある気がしていますが…。【ハッキングを受けた方へ】
当トピックで引き続き情報提供を受け付けます。今のところ、明確な原因や対策ははっきりしていませんが、ここまでの書き込みが参考になると思います。強固なパスワードを設定していたか、ログイン画面に対して何らかの対策を行っていたか、この2点がロリポップさんから対策として出されていますが、この2点を実施していたかどうか。Crazy Boneをインストールしていて今回やられた方がいれば、ログが見れますのでかなり貴重な情報になると思います。【ブログなどで情報を書かれる方へ】
こちらの書き込みはWordPressからの公式のお知らせでもなければ、各個人もセキュリティについては専門外の人間が多いでしょう。私もそうです。一部分を引用して確定的に報じると誤解を与える可能性もありますので、慎重な対応を期待します。あくまで個人的なお願いで当フォーラムの総意では全くありません。> riku1014132
貴重な情報ありがとうございます。> s.yamadaさん
情報ありがとうございます。FTP情報がマルウェアの感染などにより流出しエンコードされた感染コードが埋め込まれるという例は何年も前からたくさんあり、今回のケースとは異なると考えています(個人的な見解です)。> internet-pollutionsさん
世話役権限で投稿を編集できますので、修正のご希望があればご依頼ください。
仰るとおりで、WordPress設置ディレクトリーや各PHPファイルのパーミッションによってはシェアードホスティングをターゲットにした攻撃手法は以前から報告されています…。いくらなんでも777にしてる方はいないと信じたいのですが。私も、みなさんと同じ症状です。
とにかく、文字化けを治したいのですが、>管理画面の「設定」で文字コードが「UTF-7」に変更されているようであれば、
>それを「UTF-8」に戻すことでとりあえず文字化けは解消される↑という対策が書き込まれているのですが、バージョン3.6の場合、
設定のどのメニューにも、文字コードを変更する項目がありません。具体的には、どこで変更が可能でしょうか?
ロリポップ!から公式アナウンスがありましたので転載させていただきます。対象サイトは4802件ということです。
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について(平成25年8月29日 10時57分現在)
現在、当社が提供しているサービス「ロリポップ!レンタルサーバー」において、第三者からの大規模攻撃によりWordPressをご利用中のお客様のサイトが改ざんされる被害が発生いたしました。「ロリポップ!レンタルサーバー」をご利用のお客様には、多大なるご迷惑をおかけしており大変申し訳ございません。
現在までに当社で把握できた被害状況についてご報告いたします。
[対象のお客さま]
「ロリポップ!レンタルサーバー」のユーザーサーバーにおいて
WordPressをインストールされている一部のお客さま(4,802件)[現在までに判明している被害状況]
大規模な攻撃によりWordPressをご利用中のお客様の管理画面から
不正アクセスにより、データの改竄や不正ファイルの設置がされた。[対策について]
1)セキュリティ面の強化の為、下記のお客様のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしました。本対策の対象となったお客様におかれましては、ご登録メールアドレス宛に別途、メールでも本件をご報告しておりますので、ご一読くださいますようお願い申し上げます。
wp-config.php は WordPress の動作に必要な設定情報が書き込まれたファイルです。
この変更によるサイトの動作等への影響は無いことを確認の上、変更を行っておりますが、万が一サイトの動作等でご不明な点がございましたらユーザー専用ページ内『お問合せ( URL:https://lolipop.jp/support/inq/ )』よりご連絡ください。2)全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更いたします。
この度は調査に時間が掛かっておりますこと、また多くのお客様にご迷惑をお掛けしておりますこと深くお詫び申し上げます。
今後の状況については、引き続き、進捗があり次第ロリポップ!サービスサイト( http://lolipop.jp/info/ )でご報告してまいります。
現在のところ本日13時頃を予定しております。対象サイトはwp-config.phpのパーミッションを400に変更したとのこと。もし最後の数字が0でWordPressが動くなら、被害が出ていない人もとりあえず400に変えたほうが良いと考えます。引き続き続報を待ちます。
9yetさんへ。
WordPress3.5 以降のインストールでは、管理画面での表示が無くなっています。
http://wpdocs.sourceforge.jp/Version_3.5#.E8.A8.AD.E5.AE.9Aなので、データベースのデータを編集することになりますね。
9yetさん
バージョン3.6の場合、
設定のどのメニューにも、文字コードを変更する項目がありません。現在のテーマの、functions.phpに
<?php update_option( 'blog_charset', 'UTF-8' ); ?>
と記述してください
9yetさん
>↑という対策が書き込まれているのですが、バージョン3.6の場合、
>設定のどのメニューにも、文字コードを変更する項目がありません。
>具体的には、どこで変更が可能でしょうか?
値が「UTF-8」から変更されている場合、「一般」-「表示設定」に項目が現れていました。
なので、テーマのヘッダファイルが直接書き換えられている可能性もあります。もしくは/wp-admin/optinos.phpを呼び出すと、optionsテーブルに設定されている値を編集する画面になるので、そこで「blog_charset」の値を確認して、「UTF-7」になっていたら変更して保存する方法もあります。
Fumito MIZUNOさん、nobitaさん、s.yamadaさん、ありがとうございます!
実は、朝一番に文字化けを確認した直後の管理画面には、
「一般」-「表示設定」に文字コードを変更する項目がなかったのですが、
ここに質問を書き込んだ後に、管理画面の設定メニューを何度かクリックしていたら、
さっきまではなかった項目が表示されていました。そこで、UTF-7からUTF-8に変更して、現在は文字化けが解消されました。
現在は、文字コードを変更する項目は表示されていません。サイトの改ざんが行われてからは、
functions.phpには一切手を触れていません。これって、どういうことなんでしょうか?
ハッカーが時限式で仕込んでいたとかでしょうか?(今更かぶるけど念のため)
Fumito MIZUNOさんが書かれたとおり、3.5以降、新規インストール時にUTF-8がデフォルトになったため、この欄は廃止されています。データベースでの保存場所は wp_options テーブルに option_name「blog_charset」です。
>hissy
R.I.P lolipopという文言が何を意味しているのかはわかりません
rest in peace。
安らかに眠れ、ってことですね。
つまりまぁそういうことです。サーバーへの侵入はないとのことだけど、脆弱性はないと確認されたのかしら?
こんにちは、
hissy quoted
[現在までに判明している被害状況]
大規模な攻撃によりWordPressをご利用中のお客様の管理画面から
不正アクセスにより、データの改竄や不正ファイルの設置がされた。という 内容から、データベースのoptionsの改ざんにとどまらず、不正ファイルの設置が行われた事が明らかになりました。
不正ファイルの設置が行われたという事が、明示されている以上、残念ですが、被害者の方は、すべてのプラグインやテーマをすべて新しいものに差し替える必要性が明確になったと思います。
現実問題として、数行のコードでも記述されていれば、バックドアは作成されてしまいます。
連続的な改ざんの検証をプラグインやテーマレベルで行うのは、とても大変だと思いました。
個人的な、チェックツールとして利用していたプログラムを、公開させていただきますので、お役に立てば、幸いです。
テーマやプラグインで使われている各ファイルのMD5を調べて、比較する事が出来るツールです。
ただ、すべてのプラグインやテーマが新しいものに置き換わっていないと正常な比較にならないため即戦力にはならない点と、一定の環境の元でしか利用していなかったので、不具合の可能性も否定できません。
詳しくは、
https://gist.github.com/tenman/6373691
をみてみてください
「現段階でWPの脆弱性は確認出来てます」という発言はありましたけどね。しかし、ファイルの設置までとは厄介ですね…。
全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更いたします。
とのことなので、これが実施されたらWordPress動かないし、FTPで上書きもできないし…
改竄の被害を受けています。
1)セキュリティ面の強化の為、上記のお客様のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしました。
本対策の対象となったお客様におかれましては、ご登録メールアドレス宛に別途、メールでも本件をご報告しておりますので、ご一読くださいますようお願い申し上げます。
ロリポップ!の公式アナウンスで上記のように発表があったのですが、パーミッションは変更されていませんでしたし、メールも来ていません。
皆さんのところには、報告メールはきているのでしょうか?
ロリポップ!の「簡単インストール」を使用していないと記憶していますので、対応をスルーされたのかと不安になりましたので、書き込んでいます。
- トピック「サイト改ざん?」には新たに返信することはできません。