ロリポップ ハッキングされたあとの対処

Lolipopのレンタルサーバが攻撃された件ですが、Lolipopを運営するpaperboyがユーザー向けにアナウンスした一部の対処策について、暫定対処であり、恒久対処ではないですので、記載します。

そして対応策自体が、あまり現実的ではありません。これで運用はそうとう面倒くさいです。
その点を踏まえ、、噛み砕いて内容を見ていきます。先に対処策を。
■どのような被害があったのか
・ 悪意のある第三者に、MySQLのデーターベースが書き換えられた。
・ 悪意のある第三者に、ファイルの改竄が行われた。

その他、
①文字コードがUTF-8からUTF-7に変更されていたため、文字化けが発生しています。
②サイトタイトルが、『Hacked by Krad Xin』に変わります。
③ウィジェットにJavascriptが設置されています。
④管理者のアカウントが追加される

■対処方法など(一例というか動作未確認)
①文字コードがUTF-8からUTF-7に変更されていたため、文字化けが発生しています。
⇒Databaseを直接触る必要があります。myPHPAdminが入っていれば簡単で、wp_optionsを編集します。
blog_charsetがUTF-7になっているので、UTF-8にします。

②サイトタイトルが、『Hacked by Krad Xin』に変わります。
header.phpの改竄部分を削除。
⇒ ダッシュボードからタイトルを編集

③ウィジェットにJavascriptが設置されています。
⇒ 削除 (そんだけでいいのか気持ち悪いけど)

④管理者のアカウントが追加される
⇒ ダッシュボードから削除

■原因から今後の予防策とか考える
”別に”Lolipop”が悪いわけじゃない、たまたまセキュリティ意識の弱いユーザーが多いサービスだったから。”

擁護するわけではないのですが、今回Lolipopが全て責任があるとは、状況だけ見るとそうは思えません(初期対応は?でしたが)
Lolipopはサーバを皆でレンタルして利用するサービスです。一つのサーバの中に何千ユーザーも同居しています。また、”簡単”を全面に押し出すLolipopの戦略で全く知識のない人にも、Wordpressの構築が可能になっています。そのためか、システム自体へのセキュリティ意識が無い人がほとんどだと思います。
なので余計に標的にされやすかったのでしょう。

ちなみに、今回ハッキングされた箇所を細分化すると、Lolipopのサーバではなくて、共有サーバー上でだれかが運営している、Wordpressシステム自体が改ざんされてるようです。そのため、Wordpress自体の脆弱性か、Plugin自体の脆弱性かはわかりませんが、そこを踏み台にして、共有しているお隣さんのページも・・・
という感じだったんでしょう。

現時点で侵入方法がわからないので一概には言えませんが、ロリポの発表を見て推測ですが(推測です。推測です)
1.あるユーザの管理者パスワードが漏れる
2.wp-config.phpが漏れる
3.wp-config.phpからDBパスワードやDBユーザ情報が漏れる
何かしらの入れ子をする。

といった感じなんでしょうか。

■ざっと見たLolipop側の対応への雑感
1つ目の、対策として”.htaccess”によるIPアドレスのアクセス制限をかけてください。
とありました。
⇒暫定対処です。結論から行くと全く現実的でない。

|※お客様のIPアドレスは時間経過により変動することがございます。
|変動した場合は再度.htaccessを設定する必要がございますので
|ご注意ください。

↑「変動することが有る」ではなくて、多くの契約者はコロコロ変わります。(特にモバイル)
そのまえに、用語は結構ちゃんと使わないといけないと思います。補足をすると、設定するのは
”グローバルIPアドレス”であって、”リンクローカルIPアドレス”ではないです。
Lolipopを契約するユーザーのほとんどは、知識はないけど、簡単に安くBLOGを使いたい、ユーザーが大多数を占めているサービスだと思います。(それが今回のハッキングにもつながっています)正確に書かないと、PCにDHCPで払いだされているリンクローカルアドレスを確認して、192.168.100.1とか設定してしまう場合もあるでしょう。
ここで、設定する必要があるのは、グローバルIPアドレスです。
確認方法は、ご家庭のブロードバンドルーターの設定を確認するか、googleで”グローバルip 確認”とかで出てきます。

そもそもグローバルIPアドレスはプロバイダーにも寄りますが、無限に持っているわけではなくて、
プロバイダは決まった量のグローバルIPアドレスをお金を払って、IPアドレスを管理している団体から”借りて”います。そのため、契約者にはグローバルIPアドレスを使いまわす事がほとんどです。従って、仮に.htaccessに設定しても、次アクセスする際にグローバルIPアドレスが変わっていた場合は再度設定を行う必要があります。
固定IPアドレスを契約している個人ユーザーなんて、自宅にDNSサーバ建てる人とか、ある程度知識のある人以外には契約しないでしょう。
このように、動的に変更される状況下に有るユーザーが大多数を占める条件下にあるため、グローバルIPアドレス決め打ちの設定は暫定対処であり、恒久対処ではないのです。

■自分は影響がないから対処しなくても良い、は他人のサーバにも迷惑をかける。
今回の侵入経路はまだ公開されていませんが、推測するに攻撃の発端は恐らく一人のユーザーでしょうか。
レンタルサーバ