今回のロリポップの一件は、とりあえず、終息ですかね。

この一件で、「他のサーバー使ってるから大丈夫!」てのも、ちょっと考えないとね。

各サーバーでも、基本的なセキュリティ対策のマニュアルがあると思いますので、最低限そのマニュアルに沿った対策は施しておきましょう。

で、あまり書かれていない(ような気がする)んですが、「ユーザー名・PASSにadminとか数字のみetcはダメですよ」ってやつなんですが、ドメイン名、ブログで表示させているユーザー名もダメですよ。

推測できそうなID・PASSはダメってことです。

ユーザー名とブログ上の表示名は違うものにしておきましょう。

忘れがちなのは、ユーザーにadminが残ってるとかもね。残ってたら削除しておきましょうね。

それと、今回の件での推測ですが・・・接頭語をデフォルトの”wp”にしておくのはやめた方がいいかもね。

以下、フォーラムから抜粋です。

全文はこちら→http://ja.forums.wordpress.org/topic/24503/page/5

****************

攻撃ツールのアップロードには、個人的にはtimthumb.phpの脆弱性が狙われたのではないかと思っています。

WordPressのテーマやプラグインで広く使われていたtimthumbs.phpには、2011年に本来WordPressからはアップロードができないようにされているプログラムコードを外部からアップロードできてしまう脆弱性が発見されました。 http://blog.vaultpress.com/2011/08/02/vulnerability-found-in-timthumb/

ロリポップさんとチカッパさんでWordPressの簡単インストールが開始されたのが2010年ですから、この脆弱性を残したWordPressサイトがそれなりの数残っていたものだと思います。この脆弱性がWordPress内のテーマやプラグインに残っていないかは、こちらのプラグインで検証できますので、ぜひみなさんチェックしてください。 http://wordpress.org/plugins/timthumb-vulnerability-scanner/

現在ではこのライブラリの脆弱性も修正され、もう2年経ちますので、さすがにほとんどの方はそれ以降のバージョンにバージョンアップしていると思います。バージョンアップは非常に重要なのです。

しかし、この脆弱性があるWordPressが侵入経路になったのはたまたまで、そこからサーバー全体に影響をおよぼす深刻な影響をもたらしてしまったのは、サーバー側の脆弱性だと思います。原因はロリポップさんも最初から分かっていて、だから旧チカッパ時代のフルパスを使えるようにしていたシンボリックリンクを突然切ったのでしょう。また、自動インストールで提供していた各CMSのパーミッションとオーナーを変更されているのでしょうね。ちょっとググれば分かる程度のことを、なぜ発表しなかったのかちょっと理由が分かりませんが、現在行われている対策は私が調べた範囲からしても妥当だと思っていますのでこのまま対応を見守りたいと思います。

最後に、たくさんの知人からロリポップ以外のサーバーでもwp-config.phpを400に変えたほうがいいのか、と質問されました。Twitterを見てるとwp-config.phpのパーミッションの設定次第でお隣さんからのぞかれてしまう、それが共有サーバーでは当たり前だ、情弱乙、という書き込みも見られましたが、基本的に他人の領域が見えること自体ありえませんし、ロリポップさんも見えないようにしてありました。ただ、apacheの脆弱性が発見されそれを利用されたということです。過剰に心配する必要はないと思います。400にすべきかどうかも、サーバーの設定により一概には言えませんので、基本的には各レンタルサーバーのマニュアルをよく読み、指示にしたがってパーミッションの設定を行うことをおすすめします。

まとめ

・WordPressの脆弱性だけでここまで大規模な被害がひとつのサーバーに集中することはありえない

・wp-config.phpのパーミッション変更は被害の拡大を防ぐためのもの。根本的な原因はサーバー内の他人のファイルが見えてしまうという穴が見つかったため

・しかし、侵入経路としてユーザーの多いWordPressの古い有名な脆弱性が使われたと思われる。バージョンアップは非常に重要

しかし、午前8時段階で出ている情報はまだまだ全然はっきりしないので、もっと詳細な報告が出ることを期待しています。

*******************