Wordpressでサイト運営をしている方にとってとんでもないニュースが入りました。ロリポップサーバーの日本語サイトを中心にWordPressサイトが大量に乗っ取られているようです。
もくじ
症状
わかりやすい症状は、以下の通りです。
- サイトタイトルに「Hacked by Krad Xin」が含まれている
- サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている
- サイトが文字化け
タイトルが「Hacked by Krad Xin」になってしまった被害サイトが山盛りです。
被害サイトには念のためアクセスしないようにしてください。
あちこちでパニックが起こっています。
被害サイトは数千単位に上ります。ハッカー自身もハッキングしたサイトをドヤ顔で晒しています。
https://www.facebook.com/BDGREYHATHACKERS
ハッカーはロリポをターゲットにしたことを明確にしている
WordPress > フォーラム ≫ サイト改ざん?によれば、ハッカーの犯行声明に「R.I.P lolipop」という文言があるそうです。
これはお墓に刻まれる定番の文句で「安らかに眠れ、ロリポップよ」というような意味になります。
ロリポさんが名指しで狙われてます。
ハッカー自身もハッキングしたサイトをドヤ顔で晒しています。
https://www.facebook.com/BDGREYHATHACKERS
事件勃発からの経緯を詳しく書いてくれているサイト
まずはワードプレス公式フォーラムから
古いバージョンならいざ知らず、最新バージョンすら乗っ取られております。怖いです。
次に、永江一石@Isseki3さんが、詳しい記事を3本UPしてくれています。
- 【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます
- 続) ロリポップのWordPress大量乗っ取りについての推測と対応 | More Access! More Fun!
- ロリポップ騒動から、AWS移行で死んだ日 | More Access! More Fun!
では、どうすれば
ロリポさんからの指示通りにしましょう。
まだ乗っ取られていないサイトの場合はこのように。
もう乗っ取られてしまった場合はこのように。
ロリポさんは自らに責任が無いようなことを言ってましたが…
@Isseki3 はじめまして。ロリポップ!公式アカウントです。上記ブログ記事に関しまして、現在、ロリポップ!サーバーへのクラック等の事実はございません。つきましては、お手数をお掛けして恐れ入りますが、その旨を記事に追記していただくことは可能でしょうか。
— ロリポップ!レンタルサーバー (@lolipopjp) August 28, 2013
個人的には、@PotitibuさんのTweetが興味深かったです。
@Isseki3 はじめまして。(ロリポユーザじゃないんで確認できませんが)suphpでもphp-cgiでもなければ、phpはhttpdの権限で動くんで、telnet.php等使えばパーミッション404でも読めるんじゃないですかね。
— ポティティブ (@Potitibu) August 28, 2013
@Isseki3 phpがhttpdの権限で動く場合に、任意のphpスクリプトを設置できるならば、同サーバ収容の他ユーザディレクトリ内ファイルでパーミッションが**4のものは、設置したphpスクリプトを通じて読めます。というべきだったかも知れません。
— ポティティブ (@Potitibu) August 28, 2013
ユーザ1人ヤラれてファイル設置できるようになった場合: 他ユーザのwp-config.phpを読むphpスクリプトを設置; DBのID/PWゲット; ゲットしたID/PWでDBにアクセスして改ざんするphpスクリプトを設置; 改ざん実行。こんな流れかなーと
— ポティティブ (@Potitibu) August 28, 2013
要するに、ロリポ収容のWPサイトがヤラれるのに、ロリポのサーバ自体(rootという意味で)がヤラれてることは必要条件じゃない。ロリポユーザ1人ヤラれてたら or 悪意あるユーザ1人いれば、同サーバ収容のWPはヤラれる。かなーと
— ポティティブ (@Potitibu) August 28, 2013
でも今回はファイル改ざんも起きてるらしいので、やっぱサーバ自体ヤラれてるんですかね。
— ポティティブ (@Potitibu) August 29, 2013
結局、永江さんはクライアントに専用サーバーへの移転を勧めます。1つの正論だと思います。
原因がはっきりしないので、修復しても再侵入の可能性がある・とりあえずわたしのお客でロリポップ使ってるところ(ショップは無いけど)は急遽午後にAWSに越すことにしました。仕事になりませんわ・・今日は
— Isseki Nagae/永江一石@「虎の穴」 (@Isseki3) August 29, 2013
二転三転するロリポさんからの発表
ロリポさんはお知らせにて3時間おきくらいに状況を知らせてくれていますが、これが二転三転するので困ったものでした。
2013年8月29日発表
- ロリポで運営されているWordpressサイトのうち4,802サイトにサイト改竄被害が発生
- 管理画面からの不正アクセスにより、データの改竄や不正ファイルの設置がされた。
ロリポさんが取った対応は
- wp-config.phpのパーミッションを「400」に変更
- 不正なファイルを検知した場合、パーミッションを「000」に変更
夜になって、被害件数は8438件であることが判明。
22:43発表
ロリポさんは以下のように、ハッキングの工程を断定しました。
- 原因はプラグインやテーマの脆弱性
- 脆弱性を突いてアップロードされた不正なファイルがアップロードされた
- ハッカーは、不正なファイルを通じて、wp-config.phpの設定情報を抜き出した
- wp-config.phpの設定情報に基づいてデータベースの書き換えが行われ、WordPressサイトが改ざんされた。
であれば、原因になったプラグインやテーマの一部でも名指しして欲しいです。
不正なファイルの名前その他特徴を明らかにして欲しいです。
また、「CGIやPHPで旧来のフルパス指定を利用できないように変更いたしました。」とありましたが、予告無く行われた可能性があります。
損害賠償覚悟の手段に出なければならないほど追い込まれたのでしょうか。
謎が多すぎます。
2013年8月30日4:13発表
WordPress絡みのデータベースのパスワード、そのデータベースを使用しているCMSの設定ファイル上のパスワードが、ロリポさんによって書き換えられることに。
WordPressのハッキングで他のCMSユーザーが完全に巻き添え食っています。
7:05発表
昨日、ほとんど予告も無く使えなくしたフルパスを再度使えるようにしたそうです。それなら昨日のうちにその旨言ってほしかった。
ネット上でロリポさんへの不信感増幅
ハッキングの原因を「プラグインやテーマの脆弱性」とした割に、ずれた対応策をとっているため。ネット上ではロリポさんへの不信感が高まります。
ロリポップの説明がおかしいというエントリー。
有名なプラグイン作者のwokamoto (@wokamoto)さんが見透かしたようなTweet。
被害状況と対策がちぐはぐな感じを受けるのは変わらず。WPに全部押しつけたいの?はやいとこ原因を公表すればいいのに – 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://t.co/tzK7IenIcd
— wokamoto (@wokamoto) August 30, 2013
firegobyのTakayuki Miyauchi (@miya0001)さんも不信感Max。
昨日突然ロリポユーザーにだけテーマやプラグインの脆弱性が発火したと。そういう理屈でゴリ押しする気?w "当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について" http://t.co/TKFCdU1I82
— Takayuki Miyauchi (@miya0001) August 29, 2013
そしてかなりわかってらっしゃる方っぽいisidai (@isidai)さんからダメ押し。
ロリポは今回の対策は適切である。ただし、発表をWordPressのプラグインやテーマの脆弱性のせいにして発表しているのは嘘。
— isidai (@isidai) August 30, 2013
「ロリポは嘘つき」と断定されました。これが、山本 一郎さんや市況かぶ全力2階建さんに拾われて大炎上。
ロリポさん、とうとう自らの不備を認める
8月30日19:13の発表で、ロリポさんが、事件の原因を「WordPressのプラグインやテーマの脆弱性」ではなく「当社のパーミッションの設定不備」と認めました。
- 散々疑念を抱かれて炎上してからの
- しかも予定を2時間以上過ぎてから
- 株式市場が閉まってからの発表でした
しらを切りとおすのあきらめて、自らの責任を渋々認めた印象はぬぐえません。
9/9に以下のような本格的謝罪が行われました。
- 第三者によるユーザーサイトの改ざん被害に関するご報告 / 新着情報 / お知らせ – レンタルサーバーならロリポップ!
- 【クマガイコム】GMOインターネット社長 熊谷正寿のブログです | ロリポップ改ざん被害のお詫び。私の発言についてのお詫びとご説明。
WordPressを使っていないロリポユーザーにも不具合が飛び火?
ハッキング対策をしているうちに、Wordpress以外のCMSに不具合が出る作業をした疑いが浮上して、香ばしいことになっています。以下、@tohokuaikiさんのTweetから
@SE_O_T ロリポからメール来てました。「本日、緊急の対応により、2010年に行いました 新構成サーバー移設前よりご利用いただいておりました 下記形式のフルパスをご利用いただくことができなくなっております」ですって。
— ITOH Takashi (@tohokuaiki) August 29, 2013
.@lolipopjp この度、御社がフルパスを変更した影響で著名なオープンソースCMS、XOOPSを御社サーバで使用しているユーザーが全滅しました。フルパスの変更は影響が大きすぎます。二次被害が出ています。
— ITOH Takashi (@tohokuaiki) August 29, 2013
.@pasopiya Nucleusが被害にあったのはWPのハッキングが直接原因ではありません。それを受けて @lolipopjp が行った「サーバのフルパス変更」が原因です。ちなみに、同じようにロリポップのXOOPSユーザーもただ今全滅中です。
— ITOH Takashi (@tohokuaiki) August 29, 2013
ロリポさんがフルパス変更をメール一通で通告・即実施したため、XOOPSやNucleusなどWordpress以外のCMSを使っているユーザーも大変なことになっているようです。
翌日になって、旧来のフルパスを使うことが出来るようになりました。
しかし、今度は、WordPress絡みのデータベースのパスワード、そのデータベースを使用しているCMSの設定ファイル上のパスワードが、ロリポさんによって書き換えられることに。
ロリポさん復旧方法を公開
8月31日昼過ぎロリポさんはお知らせにて、復旧方法を公開しました。
ユーザー層を考えると今のところ説明がはなはだ不親切という話もありますが…
自力で復旧した方によって、様々な復旧方法が出回っているのですが、今後はロリポさんの言うとおりにしたほうがいいと思います。
「Krad XinによるロリポップWordPressサイト大量ハッキングまとめ」への4件の返信
私の制作したサイトではないですが、ロリポップを利用したサイトで被害にあった件の対応中です。
改竄者はIE7,Windows7 64bitの環境とだけわかりました。
ロリポップ管理画面のアカウントを制作会社からもらえていないので、他ログ調査はできていません。
テーマは制作会社さん作成のものですが、海外製のテーマファイルを利用。
テーマのカスタマイズで行う、「タイトル」「キャッチフレーズ」に対応するレコードが直接改竄されているのかと思います。
まず初期症状はサイトにアクセスするとフロントページは
Warning: mb_regex_encoding() [function.mb-regex-encoding]: Unknown encoding “UTF-7” in ・・・
の表示でした。
mb_regex_encoding()が対応していないUTF-7のキャラクターセットがWordPressのオプションテーブルにセットされたためだと思います。
★DBのxx_optionsテーブルの「charset」がUTF-7に書き換えられていました。
=>とりあえずテーマのfunctions.phpでmb_regex_encoding()を利用している箇所をコメントアウトしてサイトは表示されるようになりました。
例) if (function_exists(‘mb_regex_encoding’)) mb_regex_encoding(get_bloginfo(‘charset’));
これで管理画面にログインし、UTF-8に設定し直して、ここの文のコメントアウトも元に戻しました。
=>DB乗っ取り?もしくはロリポップでFTPSで暗号化してない転送データがハックされてるのかなと思います。。。
★パスワードを16文字の英数字記号に変更したばかりのサイトが改竄されたので。
制作会社がFTP転送してて、その転送データがハッキングされ、、、みたいなことかなとも思うのですが。。。
とりあえず古いFFFTPを使っている場合は、「ロリポップ FTPS」で検索して、最新のFFFTPで暗号化した上で作業することが大事かと思います。
<重要>
問題の根本解決にはなってません。
・ロリポップ管理画面でDBのパスワード変更
・FTPSを使ってwp-config.phpのDBのパスワード変更
・wp-config.phpのセキュリティートークン文字列を変更
・WordPress管理画面ログインのIDを変更()
山田三郎太さん、貴重な情報を有難うございます。
原因が明確に特定されない以上、細心の注意を払う必要がありそうですね。
[…] ありました。 下記は、その経緯とその過程をまとめたサイト。 http://webshufu.com/wordpress-krad-xin-hacked-many-japanese-sites/ 記事にも書かれていますが、最初は、WordPressの個別プラグイ […]
[…] 年の夏にロリポップ!でWordpressを利用していた方々が軒並みハッキングされるという事件が起きたことがあります。(参照:Krad XinによるロリポップWordPressサイト大量ハッキングまとめ) […]