今朝からIT関係のニュースで取り上げられている、「ロリポップ大規模不正改ざん問題」ですが当ブログもロリポップで運用しております。
事の経緯も含めてご紹介。
計8438件のデータ改ざんが発生!
既に大手ニュースサイトでも取り上げられていますが、ナウでヤングなレンタルサーバーと謳っているロリポップにて大量にサイト改ざん事件が発生してしまいました。
8438件でデータ改ざんや不正ファイル設置:ロリポップのレンタルサーバでWeb改ざん、WordPress管理画面への不正アクセスで – @IT
まぢか・・・
ブログ更新するシステム「Wordpress」にて管理画面に不正サクセスされ、データ改ざんされてしまったとの事。ちなみに当サイトもロリポップのレンタルサーバーにてWordpressを利用しております。まさしくビンゴ!
ちょうど昨日からブログの挙動がおかしく表示不具合が発生していたんです。
友人とのその話をしていた様子↓
昨日の18:33時点で予兆があったとは!
昨日ロリポップに問い合わせてました
実は昨日のサイトが正常に表示されない件でロリポップに問い合わせしていました。
サポートセンターから帰ってきた返答が以下の内容
500エラーの内容で正常表示できなかった原因が「.htaccessの記述に誤りがないですか?」との事。
実はサポートから返答が来る前に.htaccessの事に気づいてバックアップファイルから戻していたんです。
手動で書き換えた覚えがまったくないので腑に落ちなかったのですが、無事正常表示され元に戻りました。
改ざんはされてたのか?
さて気になる当ブログへの不正アクセスおよびデータ改ざんですが、調べてみました。
文字コードの変更やサイト名の変更などは特になかったのですが、Exploit Scannerでもコアファイルのチェックをおこない特に問題なし。
WordPress自体のユーザー名は全くサイトとは関係せず想定されないユーザー名を設定していた事。パスワードも自動生成の強度なやつだったので管理画面へのログインはされなかったのかもしれません。しかし断言できない状況で不安です。
それに気になるのがDB-Managerが自動でバックアップを6回動いていた事。
通常だと一週間に一度程度の自動バックアップが、なぜに今日6回も実施されたのかいまだに不明。???
ロリポップのMySQLって・・
ちょっと本格的に対処するために各種パスワード変更などを行おうと思ってた矢先にこの記事を発見。
続) ロリポップのWordPress大量乗っ取りについての推測と対応 | More Access! More Fun!
なんですと?!パスワード変更しても意味が無い?
しかしここで、とんでもないうっちゃりが待ち構えていました。どうもロリポップはデータベースのパスワードが変更できない仕様です。いや正確にはphpAdminから変更できるのだが、変更しても古いパスワードが活きてる。そんな仕様らしい。
まぢですか・・・もしこの状態で外部からMysqlに接続できるのならば、やばいのでは?
試しに接続トライ。
ポート3306で接続試みたところ・・・
うわぁぁぁぁ!接続できてる。ってかなぜに接続許可しているんでしょう?
WordPressのユーザー名とパスワードは漏れていなくても、wp-config.phpの情報を抜かれてMysqlのユーザー名とパスワードが漏えいされていたら意味なしです。
まとめ
ちょっとロリポップの公式コメントを待つしかない状況ですが、いまのところMysql側のDBを削除して別のサーバで作り直して対処したほうが良い気がしました。
もちろん外部から接続されないDBサーバじゃなきゃダメです。
でも今回のケースを考えると一番良い対処法は。。。。ロリポップから他社に乗り換える事じゃないのか?と検討中(涙)
来年4月まで契約期間が残っておりますが、とりあえず今後どうするか要検討です。
はぁ。。。ロリポップさん。公式コメントお待ちしております。
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!
どうなることやら・・・
コメント