株式会社paperboy&co.(ペパボ)は29日、同社が提供する個人向け
レンタルサーバーサービス「ロリポップ!」において、大規模攻撃により、
WordPressを利用中のユーザーのサイトが改ざんされる被害が発生していると
発表した。
WordPress利用者の管理画面からの不正アクセスにより、
データの改ざんや不正ファイルの設置がなされたという。
対象となるユーザーは、WordPressをインストールしている一部のユーザーで、
29日午前の時点で判明しているだけで4802件。
ただし、その後の調査でさらに増える可能性が出てきたとしている。
これを受けてペパボでは、ロリポップ!のユーザーサーバー上にある
WordPressについて、全ユーザーのすべてのwp-config.phpファイル
(WordPressの設定情報が書き込まれたファイル)のパーミッションを
変更する措置をとるとともに、全サーバ―/全ファイルを対象に
ウイルススキャンを実行。
発見された不正ファイルはパーミッションを変更し、該当ファイルへ
アクセスできないよう対策を行っているとしている。
ペパボでは28日、WordPressのログインID・パスワードに脆弱な
文字列を使用している場合に、管理画面へ不正にログインされる事例を
多数確認しているとして、ID・パスワードには特定されにくい
文字列を設定すること、wp-login.phpへのアクセス制限を実施することを
ユーザーに呼び掛けていた。
ペパボでは引き続き被害状況を確認中だとしており、判明次第、
ロリポップ!のウェブサイトやTwitterアカウントで報告。
また、対象ユーザーにはメールで個別連絡するとしている。
WordPressプラグイン/テーマの脆弱性から侵入→ロリポップ!の
設定不備を利用される
【追記 2013/8/30 16:45】
ペパボは29日夜、今回の攻撃で被害を受けたユーザーの数について、
新たに3636件を確認したと発表した。
同日午前に発表していた4802件と合わせると、8438件に上る。
また、被害状況として、WordPressのプラグインやテーマの脆弱性を
利用し、不正なファイルがアップロードされ、そのファイルを利用して
wp-config.phpの設定情報が抜き出されることにより、データベースの
書き替えが行われ、WordPressサイトが改ざんされたと説明している。
【追記 2013/8/30 20:00】
ペパボは30日19時過ぎ、お知らせページを更新し、改ざん手法に
ついて追加情報を公表した。
改ざんにはWordPressプラグイン/テーマの脆弱性が利用されたことを
すでに発表していたが、その脆弱性を侵入経路とし、さらにロリポップ!の
パーミッションの設定不備を利用されたことが原因であることを
確認したという。
「本件の改ざんは、WordPressの設定ファイルであるwp-config.phpから
データベース接続に必要な情報を抜き出して情報を書き換えられたもので、
それ以外のデータに影響はございません」としている。ハッキングの症状WordPressフォーラムの投稿者に寄ると、サイトの状態としては以下の
ようになっていたそうです。
WordPressサイトが文字化け
サイトタイトルが “Hacked by Krad Xin” と改変
ウィジェットにメッセージとコードが追加
パスワードは変更されていない様子投稿内容を読むと、WordPressのユーザー名やパスワードは
変更されていないようで、ログインも問題なく出来る様子です。
また、新規に作成された怪しいユーザーも居なかったとの事です。
文字化けに関しては応急処置としてブラウザーの文字コードをUTF8に
変更する事によって回避できたそうです。
ウィジェットに改竄コンテンツが追加される
また、ウィジェットエリアにメッセージとコード入りのコンテンツが
追加されていた様子です。
これらを削除しても数分でまた元に戻ってしまったという
書き込みも見られ、情報が安定していないですね。
今すぐ出来る対策今すぐ出来る対策として以下の作業をしておく事をオススメします。
MySQL データベースの全バックアップ
WordPress構成ファイルの全ダウンロード
MySQLは “phpMyAdmin” などのツールを利用しても良いでしょうし、
”WP-DBManager” などのプラグインを利用しても良いでしょう。
とにかく、定期バックアップとは別に今すぐにバックアップしておきましょう。
WordPressはデータベースさえあれば瞬時に復元できますからね。
次にWordPressを構成しているファイル群もバックアップを取りましょう。
こちらは替えがきくのでデータベースほどの優先度は無いかもしれませんが、
同じファイルを再度ダウンロードしてアップロードし直すのは面倒です。
この機会にサーバーからダウンロードしてバックアップを取っておくと
良いでしょう。
[0回]
PR
