Krad XinによるロリポップWordPressサイト大量ハッキングまとめ

更新

WordPress
Wordpressでサイト運営をしている方にとってとんでもないニュースが入りました。ロリポップサーバーの日本語サイトを中心にWordPressサイトが大量に乗っ取られているようです。

症状

わかりやすい症状は、以下の通りです。

  • サイトタイトルに「Hacked by Krad Xin」が含まれている
  • サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている
  • サイトが文字化け

タイトルが「Hacked by Krad Xin」になってしまった被害サイトが山盛りです。

被害サイトには念のためアクセスしないようにしてください。

あちこちでパニックが起こっています。

被害サイトは数千単位に上ります。ハッカー自身もハッキングしたサイトをドヤ顔で晒しています。

https://www.facebook.com/BDGREYHATHACKERS

ハッカーはロリポをターゲットにしたことを明確にしている

WordPress > フォーラム ≫ サイト改ざん?によれば、ハッカーの犯行声明に「R.I.P lolipop」という文言があるそうです。

これはお墓に刻まれる定番の文句で「安らかに眠れ、ロリポップよ」というような意味になります。

ロリポさんが名指しで狙われてます。

ハッカー自身もハッキングしたサイトをドヤ顔で晒しています。

https://www.facebook.com/BDGREYHATHACKERS

事件勃発からの経緯を詳しく書いてくれているサイト

まずはワードプレス公式フォーラムから

古いバージョンならいざ知らず、最新バージョンすら乗っ取られております。怖いです。

次に、永江一石@Isseki3さんが、詳しい記事を3本UPしてくれています。

では、どうすれば

ロリポさんからの指示通りにしましょう。

まだ乗っ取られていないサイトの場合はこのように。

もう乗っ取られてしまった場合はこのように。

ロリポさんは自らに責任が無いようなことを言ってましたが…

個人的には、@PotitibuさんのTweetが興味深かったです。

結局、永江さんはクライアントに専用サーバーへの移転を勧めます。1つの正論だと思います。

二転三転するロリポさんからの発表

ロリポさんはお知らせにて3時間おきくらいに状況を知らせてくれていますが、これが二転三転するので困ったものでした。

2013年8月29日発表

  • ロリポで運営されているWordpressサイトのうち4,802サイトにサイト改竄被害が発生
  • 管理画面からの不正アクセスにより、データの改竄や不正ファイルの設置がされた。

ロリポさんが取った対応は

  • wp-config.phpのパーミッションを「400」に変更
  • 不正なファイルを検知した場合、パーミッションを「000」に変更

夜になって、被害件数は8438件であることが判明。

22:43発表

ロリポさんは以下のように、ハッキングの工程を断定しました。

  1. 原因はプラグインやテーマの脆弱性
  2. 脆弱性を突いてアップロードされた不正なファイルがアップロードされた
  3. ハッカーは、不正なファイルを通じて、wp-config.phpの設定情報を抜き出した
  4. wp-config.phpの設定情報に基づいてデータベースの書き換えが行われ、WordPressサイトが改ざんされた。

であれば、原因になったプラグインやテーマの一部でも名指しして欲しいです。

不正なファイルの名前その他特徴を明らかにして欲しいです。

また、「CGIやPHPで旧来のフルパス指定を利用できないように変更いたしました。」とありましたが、予告無く行われた可能性があります。

損害賠償覚悟の手段に出なければならないほど追い込まれたのでしょうか。

謎が多すぎます。

2013年8月30日4:13発表

WordPress絡みのデータベースのパスワード、そのデータベースを使用しているCMSの設定ファイル上のパスワードが、ロリポさんによって書き換えられることに。

WordPressのハッキングで他のCMSユーザーが完全に巻き添え食っています。

7:05発表

昨日、ほとんど予告も無く使えなくしたフルパスを再度使えるようにしたそうです。それなら昨日のうちにその旨言ってほしかった。

ネット上でロリポさんへの不信感増幅

ハッキングの原因を「プラグインやテーマの脆弱性」とした割に、ずれた対応策をとっているため。ネット上ではロリポさんへの不信感が高まります。

ロリポップの説明がおかしいというエントリー。

有名なプラグイン作者のwokamoto (@wokamoto)さんが見透かしたようなTweet。

firegobyのTakayuki Miyauchi (@miya0001)さんも不信感Max。

そしてかなりわかってらっしゃる方っぽいisidai (@isidai)さんからダメ押し。

「ロリポは嘘つき」と断定されました。これが、山本 一郎さんや市況かぶ全力2階建さんに拾われて大炎上。

ロリポさん、とうとう自らの不備を認める

8月30日19:13の発表で、ロリポさんが、事件の原因を「WordPressのプラグインやテーマの脆弱性」ではなく「当社のパーミッションの設定不備」と認めました。

  • 散々疑念を抱かれて炎上してからの
  • しかも予定を2時間以上過ぎてから
  • 株式市場が閉まってからの発表でした

しらを切りとおすのあきらめて、自らの責任を渋々認めた印象はぬぐえません。

9/9に以下のような本格的謝罪が行われました。

WordPressを使っていないロリポユーザーにも不具合が飛び火?

ハッキング対策をしているうちに、Wordpress以外のCMSに不具合が出る作業をした疑いが浮上して、香ばしいことになっています。以下、@tohokuaikiさんのTweetから

ロリポさんがフルパス変更をメール一通で通告・即実施したため、XOOPSやNucleusなどWordpress以外のCMSを使っているユーザーも大変なことになっているようです。

翌日になって、旧来のフルパスを使うことが出来るようになりました。

しかし、今度は、WordPress絡みのデータベースのパスワード、そのデータベースを使用しているCMSの設定ファイル上のパスワードが、ロリポさんによって書き換えられることに。

ロリポさん復旧方法を公開

8月31日昼過ぎロリポさんはお知らせにて、復旧方法を公開しました。

ユーザー層を考えると今のところ説明がはなはだ不親切という話もありますが…

自力で復旧した方によって、様々な復旧方法が出回っているのですが、今後はロリポさんの言うとおりにしたほうがいいと思います。

Krad XinによるロリポップWordPressサイト大量ハッキングまとめ」への4件のフィードバック

  1. 山田三郎太

    私の制作したサイトではないですが、ロリポップを利用したサイトで被害にあった件の対応中です。

    改竄者はIE7,Windows7 64bitの環境とだけわかりました。
    ロリポップ管理画面のアカウントを制作会社からもらえていないので、他ログ調査はできていません。
    テーマは制作会社さん作成のものですが、海外製のテーマファイルを利用。
    テーマのカスタマイズで行う、「タイトル」「キャッチフレーズ」に対応するレコードが直接改竄されているのかと思います。

    まず初期症状はサイトにアクセスするとフロントページは
    Warning: mb_regex_encoding() [function.mb-regex-encoding]: Unknown encoding “UTF-7” in ・・・
    の表示でした。

    mb_regex_encoding()が対応していないUTF-7のキャラクターセットがWordPressのオプションテーブルにセットされたためだと思います。

    ★DBのxx_optionsテーブルの「charset」がUTF-7に書き換えられていました。
    =>とりあえずテーマのfunctions.phpでmb_regex_encoding()を利用している箇所をコメントアウトしてサイトは表示されるようになりました。
     例) if (function_exists(‘mb_regex_encoding’)) mb_regex_encoding(get_bloginfo(‘charset’));

    これで管理画面にログインし、UTF-8に設定し直して、ここの文のコメントアウトも元に戻しました。

    =>DB乗っ取り?もしくはロリポップでFTPSで暗号化してない転送データがハックされてるのかなと思います。。。
    ★パスワードを16文字の英数字記号に変更したばかりのサイトが改竄されたので。

    制作会社がFTP転送してて、その転送データがハッキングされ、、、みたいなことかなとも思うのですが。。。

    とりあえず古いFFFTPを使っている場合は、「ロリポップ FTPS」で検索して、最新のFFFTPで暗号化した上で作業することが大事かと思います。

    <重要>
    問題の根本解決にはなってません。
    ・ロリポップ管理画面でDBのパスワード変更
    ・FTPSを使ってwp-config.phpのDBのパスワード変更
    ・wp-config.phpのセキュリティートークン文字列を変更
    ・WordPress管理画面ログインのIDを変更()

    返信
    1. ウェブシュフ 投稿作成者

      山田三郎太さん、貴重な情報を有難うございます。

      原因が明確に特定されない以上、細心の注意を払う必要がありそうですね。

      返信
  2. ピンバック: ロリポップで非常に大きなハッキング騒動がありました。

  3. ピンバック: アフィリエイトを始める前にチェックしておきたいオススメレンタルサーバー9つ | アフィリエイトJAPAN

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です