ロリポップでのWordPressユーザーに対するサイト改ざんが発生

【2013/09/01追記】
原因が公式にアナウンスされました。

その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。
当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ！

参考：
「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備 – ITmedia ニュース

 
——

 

先日、レンタルサーバーのロリポップで大規模はサイト改ざんの被害が発表されました。

当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ！

僕のクライアントでロリポップもいくつかありましたが今のところ被害にはなっていませんでした。
ただ、今は意図的になにもしていないのかということも考えられるので注意が必要です。
とりあえずクライアントには速攻で対策しました。

被害対象者

ロリポップでWordpressを使用しているユーザー8000人超。（2013/08/30 12時現在）

被害内容

サイト名に「Hacked by （サイト名）」
文字化けしている、文字コードがUTF-7に変更されている
覚えのないウィジェットが追加

現在報告されている被害は上記のようですが、今後新しい被害内容も出てくるかもしれません。

一体誰が？

ハッカー集団らしいです。これが彼らのFacebookページ
(2) Bangladesh Grey Hat Hackers
ハッキングしたサイト数を投稿しているという。。。おそらくゲーム感覚でハッキングしているのでしょう。

「今日は3000サイトハッキングしてやったぜ！すごいだろ！」

投稿からするとこんな感じです。

ロリポップユーザーは至急対策を

対策はロリポップ公式に紹介されています。
サイト改ざんへの対策をお願いいたします – ロリポップ！レンタルサーバー

WAFの有効は手間がかかる

WAFというサイト改ざん対策に一番有効だとされているツールがあるのですが、これはWordpressをインストールしたサーバーではWordpress自体も攻撃とみなしてブロックしてしまい、正しく使用できないのでロリポップでwordpressを使うユーザーはオフにしましょう、というのが一般的になっています…

せっかくある安心ツールなので、できればwordpressを使いながらWAFも有効にしたい。
そういう場合は以下URLをご参考。（ただ、ちょっと面倒）

ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ

もしあなたのサイトに改ざんされた形跡があったら…

タイトルが勝手に変わっている、文字化けしている等、あきらかに覚えのない変更があった場合改ざんされている可能性が高いです。
その場合は以下のURLの対応手順に沿って進めましょう。

WEBサイトが改ざんされてしまったら？ – ロリポップ！レンタルサーバー

一番の対策は

今回の原因は「ロリポップの共有サーバーの設定」でした。
他のユーザーへ侵入できるような設定だったらしいので、まず1つに侵入すれば他のユーザーの設定ファイルにアクセスし、データベースを書き換えるという恐ろしいことになっていたのです。

しかもロリポップはデータベースのパスワードが簡単に変更できない。

mySQLのパスワードの変更方法を教えて下さい。 先日、ロリポップ.. – 人力検索はてな

変更するには直接MySQLをいじらないといけないので一般的には無理でしょう。しかもデータベースはサポート外。
普通データベースのパスワードは変更できないと厳しいと思うんですが…

一番の対策は共有サーバーを使わないということになりますが専用サーバーは費用が馬鹿にならないので現実的ではありません。
amazonが運営するAWS等が一番費用も抑えられいいかもです。

取り急ぎ、ロリポップユーザーの方はご注意ください。