Krad XinによるロリポップWordpressサイト大量ハッキングまとめ

Wordpressでサイト運営をしている方にとってとんでもないニュースが入りました。ロリポップサーバーの日本語サイトを中心にWordPressサイトが大量に乗っ取られているようです。

症状
ハッカーはロリポをターゲットにしたことを明確にしている
事件勃発からの経緯を詳しく書いてくれているサイト
では、どうすれば
ロリポさんは自らに責任が無いようなことを言ってましたが…
二転三転するロリポさんからの発表
ネット上でロリポさんへの不信感増幅
ロリポさん、とうとう自らの不備を認める
WordPressを使っていないロリポユーザーにも不具合が飛び火?
ロリポさん復旧方法を公開

症状

わかりやすい症状は、以下の通りです。

サイトタイトルに「Hacked by Krad Xin」が含まれている
サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている
サイトが文字化け

タイトルが「Hacked by Krad Xin」になってしまった被害サイトが山盛りです。

Hacked by Krad Xin – Google 検索

被害サイトには念のためアクセスしないようにしてください。

「ロリポップ」の検索結果 – Yahoo!検索（リアルタイム）

あちこちでパニックが起こっています。

Hacked by Krad Xin - japan - Pastebin.com

Hacked by Krad Xin - japan part 2 big - Pastebin.com

被害サイトは数千単位に上ります。ハッカー自身もハッキングしたサイトをドヤ顔で晒しています。

https://www.facebook.com/BDGREYHATHACKERS

ハッカーはロリポをターゲットにしたことを明確にしている

WordPress ＞フォーラム ≫ サイト改ざん？によれば、ハッカーの犯行声明に「R.I.P lolipop」という文言があるそうです。

これはお墓に刻まれる定番の文句で「安らかに眠れ、ロリポップよ」というような意味になります。

ロリポさんが名指しで狙われてます。

ハッカー自身もハッキングしたサイトをドヤ顔で晒しています。

https://www.facebook.com/BDGREYHATHACKERS

事件勃発からの経緯を詳しく書いてくれているサイト

まずはワードプレス公式フォーラムから

WordPress フォーラム ≫ サイト改ざん？

古いバージョンならいざ知らず、最新バージョンすら乗っ取られております。怖いです。

次に、永江一石@Isseki3さんが、詳しい記事を３本UPしてくれています。

では、どうすれば

ロリポさんからの指示通りにしましょう。

まだ乗っ取られていないサイトの場合はこのように。

サイト改ざんへの対策をお願いいたします - ロリポップ！レンタルサーバー

もう乗っ取られてしまった場合はこのように。

WEBサイトが改ざんされてしまったら？ - ロリポップ！レンタルサーバー

ロリポさんは自らに責任が無いようなことを言ってましたが…

@Isseki3 はじめまして。ロリポップ！公式アカウントです。上記ブログ記事に関しまして、現在、ロリポップ！サーバーへのクラック等の事実はございません。つきましては、お手数をお掛けして恐れ入りますが、その旨を記事に追記していただくことは可能でしょうか。

— ロリポップ！レンタルサーバー (@lolipopjp) August 28, 2013

個人的には、@PotitibuさんのTweetが興味深かったです。

@Isseki3 はじめまして。(ロリポユーザじゃないんで確認できませんが)suphpでもphp-cgiでもなければ、phpはhttpdの権限で動くんで、telnet.php等使えばパーミッション404でも読めるんじゃないですかね。

— ポティティブ (@Potitibu) August 28, 2013

@Isseki3 phpがhttpdの権限で動く場合に、任意のphpスクリプトを設置できるならば、同サーバ収容の他ユーザディレクトリ内ファイルでパーミッションが**4のものは、設置したphpスクリプトを通じて読めます。というべきだったかも知れません。

— ポティティブ (@Potitibu) August 28, 2013

ユーザ1人ヤラれてファイル設置できるようになった場合: 他ユーザのwp-config.phpを読むphpスクリプトを設置; DBのID/PWゲット; ゲットしたID/PWでDBにアクセスして改ざんするphpスクリプトを設置; 改ざん実行。こんな流れかなーと

— ポティティブ (@Potitibu) August 28, 2013

要するに、ロリポ収容のWPサイトがヤラれるのに、ロリポのサーバ自体(rootという意味で)がヤラれてることは必要条件じゃない。ロリポユーザ1人ヤラれてたら or 悪意あるユーザ1人いれば、同サーバ収容のWPはヤラれる。かなーと

— ポティティブ (@Potitibu) August 28, 2013

でも今回はファイル改ざんも起きてるらしいので、やっぱサーバ自体ヤラれてるんですかね。

— ポティティブ (@Potitibu) August 29, 2013

結局、永江さんはクライアントに専用サーバーへの移転を勧めます。1つの正論だと思います。

原因がはっきりしないので、修復しても再侵入の可能性がある・とりあえずわたしのお客でロリポップ使ってるところ（ショップは無いけど）は急遽午後にAWSに越すことにしました。仕事になりませんわ・・今日は

— Isseki Nagae (@Isseki3) August 29, 2013

二転三転するロリポさんからの発表

ロリポさんはお知らせにて3時間おきくらいに状況を知らせてくれていますが、これが二転三転するので困ったものでした。

2013年8月29日発表

ロリポで運営されているWordpressサイトのうち4,802サイトにサイト改竄被害が発生
管理画面からの不正アクセスにより、データの改竄や不正ファイルの設置がされた。

ロリポさんが取った対応は

wp-config.phpのパーミッションを「400」に変更
不正なファイルを検知した場合、パーミッションを「000」に変更

夜になって、被害件数は8438件であることが判明。

22：43発表

ロリポさんは以下のように、ハッキングの工程を断定しました。

原因はプラグインやテーマの脆弱性
脆弱性を突いてアップロードされた不正なファイルがアップロードされた
ハッカーは、不正なファイルを通じて、wp-config.phpの設定情報を抜き出した
wp-config.phpの設定情報に基づいてデータベースの書き換えが行われ、WordPressサイトが改ざんされた。

であれば、原因になったプラグインやテーマの一部でも名指しして欲しいです。

不正なファイルの名前その他特徴を明らかにして欲しいです。

また、「CGIやPHPで旧来のフルパス指定を利用できないように変更いたしました。」とありましたが、予告無く行われた可能性があります。

損害賠償覚悟の手段に出なければならないほど追い込まれたのでしょうか。

謎が多すぎます。

2013年8月30日4:13発表

WordPress絡みのデータベースのパスワード、そのデータベースを使用しているCMSの設定ファイル上のパスワードが、ロリポさんによって書き換えられることに。

WordPressのハッキングで他のCMSユーザーが完全に巻き添え食っています。

7:05発表

昨日、ほとんど予告も無く使えなくしたフルパスを再度使えるようにしたそうです。それなら昨日のうちにその旨言ってほしかった。

ネット上でロリポさんへの不信感増幅

ハッキングの原因を「プラグインやテーマの脆弱性」とした割に、ずれた対応策をとっているため。ネット上ではロリポさんへの不信感が高まります。

ロリポップの説明がおかしいというエントリー。

不意になにかを残すブログ: ロリポップでWordPressの改竄が拡がった理由

有名なプラグイン作者のwokamoto (@wokamoto)さんが見透かしたようなTweet。

被害状況と対策がちぐはぐな感じを受けるのは変わらず。WPに全部押しつけたいの？はやいとこ原因を公表すればいいのに – 当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://t.co/tzK7IenIcd

— wokamoto (@wokamoto) August 30, 2013

firegobyのTakayuki Miyauchi (@miya0001)さんも不信感Max。

昨日突然ロリポユーザーにだけテーマやプラグインの脆弱性が発火したと。そういう理屈でゴリ押しする気？w "当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について" http://t.co/TKFCdU1I82

— Takayuki Miyauchi (@miya0001) August 29, 2013

そしてかなりわかってらっしゃる方っぽいisidai (@isidai)さんからダメ押し。

ロリポは今回の対策は適切である。ただし、発表をWordPressのプラグインやテーマの脆弱性のせいにして発表しているのは嘘。

— isidai (@isidai) August 30, 2013

「ロリポは嘘つき」と断定されました。これが、山本一郎さんや市況かぶ全力２階建さんに拾われて大炎上。

ロリポさん、とうとう自らの不備を認める

8月30日19:13の発表で、ロリポさんが、事件の原因を「WordPressのプラグインやテーマの脆弱性」ではなく「当社のパーミッションの設定不備」と認めました。

散々疑念を抱かれて炎上してからの
しかも予定を2時間以上過ぎてから
株式市場が閉まってからの発表でした

しらを切りとおすのあきらめて、自らの責任を渋々認めた印象はぬぐえません。

9/9に以下のような本格的謝罪が行われました。

WordPressを使っていないロリポユーザーにも不具合が飛び火?

ハッキング対策をしているうちに、Wordpress以外のCMSに不具合が出る作業をした疑いが浮上して、香ばしいことになっています。以下、@tohokuaikiさんのTweetから

@SE_O_T ロリポからメール来てました。「本日、緊急の対応により、2010年に行いました新構成サーバー移設前よりご利用いただいておりました下記形式のフルパスをご利用いただくことができなくなっております」ですって。

— ITOH Takashi (@tohokuaiki) August 29, 2013

.@lolipopjp この度、御社がフルパスを変更した影響で著名なオープンソースCMS、XOOPSを御社サーバで使用しているユーザーが全滅しました。フルパスの変更は影響が大きすぎます。二次被害が出ています。

— ITOH Takashi (@tohokuaiki) August 29, 2013

.@pasopiya Nucleusが被害にあったのはWPのハッキングが直接原因ではありません。それを受けて @lolipopjp が行った「サーバのフルパス変更」が原因です。ちなみに、同じようにロリポップのXOOPSユーザーもただ今全滅中です。

— ITOH Takashi (@tohokuaiki) August 29, 2013

ロリポさんがフルパス変更をメール一通で通告・即実施したため、XOOPSやNucleusなどWordpress以外のCMSを使っているユーザーも大変なことになっているようです。

翌日になって、旧来のフルパスを使うことが出来るようになりました。

しかし、今度は、WordPress絡みのデータベースのパスワード、そのデータベースを使用しているCMSの設定ファイル上のパスワードが、ロリポさんによって書き換えられることに。

ロリポさん復旧方法を公開

8月31日昼過ぎロリポさんはお知らせにて、復旧方法を公開しました。

ユーザー層を考えると今のところ説明がはなはだ不親切という話もありますが…

自力で復旧した方によって、様々な復旧方法が出回っているのですが、今後はロリポさんの言うとおりにしたほうがいいと思います。