Your browser (Internet Explorer 6) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.
X
Post

ロリポップのWordPressサイト改ざんが行われた件について 続

ロリポップのWordpress改ざんについての続きです。


当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!

いまだに収束の目処が立っておらずロリポップで今回の件の続報が出続けていますが、ここで気になる一文が。

[現在までに判明している被害状況]
WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました。
またそのファイルを利用し、wp-config.phpの設定情報が抜き出されることにより、データベースの書き換えが行われ、WordPressサイトが改ざんされました。

ロリポップの説明によると、まず不正ファイルがアップロードされ、
そこを経由してDB接続情報を取得したとの事です。
しかも書き方からするとWPのサイトごとに不正ファイルがアップロードされた事になります。

.htaccessの改ざんを受けていた
.htaccess改ざんの件、続き
.htaccess改ざんの件、恐らく完結

確かに自分も以前不正ファイルのアップロードがされた事があり、
この方法であればDB接続情報を抜き出す事は可能かと思います。
(この時自分が受けた攻撃はWPではなくCGI版phpの脆弱性を突いたものでした)

ただ、この方法だとロリポップのサイトだけを狙い撃つ事は難しく、様々なサーバが混在する事になるはずです。
また、ハッカーが公開していたクラックリスト内にはテスト用らしきURLもあり、これを把握できた理由の説明にはなりません。


昨日の記事を書いた時点で横断的にファイルチェックができるパーミッション設定のミス、
MySQLの接続設定のミスに起因しているのではないかという推測は耳に挟んでいました。
しかし公開されたクラックリストにはドメインやサブディレクトリが正確に捕捉されており、
データベース閲覧するだけだとそこまでは分からないのではないかと思って若干疑いを持っていたのですが……
考えてみたらWPではDBテーブルのオプション内にサイトURLを保存している項目があるので
DBへの接続ができればそれを利用してるサイトのURLが特定可能なようになっていました。
だから別にサイトリストを取得せずともこういう犯行は可能だったと考え直しました。

TrackBack URL :

Leave a comment  

name

email

website

Submit comment