mixture-art@Q
技術+アイディア+世俗+なんとなく思ったこと、すべての融合がmixture-art
先日の『ロリポップサーバー大攻撃』の時に何してた?

もうネット上にいくつものアーティクルを見かけるが、
先日8月末から9月4日くらいにかけて
ロリポップのレンタルサーバーが攻撃を受けた。
実際にサイトの改ざんなどの被害があり、犯人であるハッカー集団は犯行声明として
ハッキングに成功したドメインのリストを公開していた。

まぁこれがどういう成り行きだったとか、
どこそこの虚弱性を突いてとか、じゃあ対策は?とか
そこら辺については優れた文書がすでに存在すると思うので
具体的に右往左往したとあるユーザー(自分)のログでもさらしたいと思う。

事件の全容はここからたどっていけばわかると思う。
http://coolbookmark.blogspot.com/2013/09/20139wordpress.html

簡単に言うと原因はロリポップ上にインストールされたWordPress内に虚弱性があったらしいが、
パッケージのインストール方法などを定義しているのはサーバー管理者側だから
ロリポップの問題、ということになるのだろう。

———————-
(アメリカ時間9/4日の朝)

起きてメールチェックをしていると全く同じ件名で5通以上のメールが来ていることに気付く。

(件名)
【ロリポップ!】メール大量配信を確認致しました

個人で持っている独自ドメインの話だ。

最近メアドはほとんど会社のとgmailしか使っていないので
独自ドメインのメアドを使った覚えは当然ない。

寝耳に水の話だ。

しかもそのメールの文面で


契約中のサーバースペース【xxxxxx.jp】より、
【 312 】通のメール送信を確認致しました。

禁止事項で定めた、1時間あたりのメール配信数を超過しております。
その為、現在アカウントからのメール送信を制限致しております。

ロリポップ!レンタルサーバーは共用サーバーとなり、
禁止事項に記載された制限値を超えるメールの配信については
お断り致しております。

と来たものだから真っ先にハッキング被害を疑った。

とはいえハッキングされた経験なんてないし、そもそもサーバー管理はやったことないから
まずはとりあえず


このメールに心当たりのない場合やご不明な点がある場合は、
https://lolipop.jp/support/inq/ よりご連絡ください。

のリンク先を見てみるが、要するに
「サーバーが攻撃を受けたんだけど色々ロリポップ側が対応した」
みたいなことが書いてある。

いくつかのconfig系ファイルのパーミッションの変更とWAFの有効化。そんなところか。

進行状況が50%とか書いてあるけど、
自分のところを確認するとWAFが有効にはなっていなかったのでとりあえずそれだけでもやっておく。

まずい、時間だ。出勤せな。

—————————
(出勤)

通勤のバスと電車の中でニュース等で確認した限りでは、
どうやら2日頃からそういう話はあったようだ。それなりの騒ぎになっている。
とりあえずロリポップのサポートにメールは入れておいたがあまり迅速な対応は期待出来ないだろう。

すると再び「メール大量配信を確認致しました」メールが届いた。

なんだよ、WAF意味ないじゃん。
つまりもう何かしら細工されたあとってことだ。

ニュースやブログ等の引用からハッカー集団のFacebookページまで辿り着いたが
とりあえずそこに自分のドメインは無し。
とはいえ『メール大量送信』の件があるからパスワードとIDは割れたものと思った方が良いかもだ。
まずは一通りのパスワードの変更を行う。

続けてサイトのバックアップを取る。
FinderからFTPアクセスなんて久しぶりなので手間取る。。。

その間によく見たら9/2にこんなメールが来ていた。
———————-

現在、ロリポップ!において、第三者からの大規模攻撃により WordPress を
ご利用中のお客様のサイトが改ざんされる被害が発生しております。
お客様には、多大なるご心配をおかけしており大変申し訳ございません。

この攻撃に伴い、セキュリティ強化の為、
改ざんを受けていないお客様を含めた全てのお客様の
サーバー領域に設置されている WordPress において、
wp-config.php のパーミッションを「400」に変更いたしました。

———————

さらにその前にはこんなのも
———————-

現在弊社では、先日の大規模な改ざん事案を受け、お客様のサーバー領域に
設置されている WordPress のセキュリティ強化を進めております。

このセキュリティ強化の一環として、
お客様のサーバー領域に設置されている WordPress におきまして
『 install.php 』のパーミッションを「 000 」に設定いたしました。

パーミッションは、ファイルやフォルダに対するアクセス権限です。

『 install.php 』のパーミッションが「 644 」などに設定されている場合、
WordPress を狙った一般的な手法による不正アクセスのきっかけとなる
危険性がございますが、パーミッションを「 000 」に設定することにより
『 install.php 』にアクセスできなくなり、
『 install.php 』を利用した不正アクセスの危険が無くなります。

———————-

なるほど、最初にinstall.phpを疑ったけど、結論としては問題はwp-config.phpだった、と。

だいたいネットから拾った情報通りだ。

———————–
(昼メシ後)

とはいえ対応したようなメールが届いている後にもトラブルは起きていたことだし、
念には念をで以下を行う。

ひと通りなんやかんやアップデート
使っていないプラグインを消す

あと、上記のメールのとおりにパーミッション変更がされていることを確認

ひと通りやったところでサイトの改ざんが無いかどうかプラプラと見てみる。
まぁ大まかなところでは特に何もなさそうだ。

そんなこんなしている間にサポートからの返信があった。

———————-

1.ご利用のパソコンのウイルスチェックを行う
2.FTP パスワードを変更して FTP アクセス制限を実施する
3.CMS ツールをご利用の場合はパスワード変更とバージョンアップを行う
4.サーバー上のファイルをクリーンアップ(不審なタグの削除等)する
5.WAFを有効にする


——————–

1と4で笑ってしまった。


1、
今回これだけ問題になってて、まずそこから疑えと?!

4、
『不審』がなんなのかわかるひとはサポートにメールしないし!

残りはすでにやってあるので、結局サポート意味無し。

とりあえず放置してみたら『大量メール送信』は止まったようなので良しとすることにした。

さて、お引越を検討しなければだな。