ロリポップサイト改ざん (2013年8月)について

  • 投稿 : 2013-08-31
  • 更新 : 2013-09-03
私は、「コロリポプラン」でSQLiteでWordpressを運営していたので、被害にあわなかった感じです。恥ずかしながら、WAF(ウェブアプリケーションファイアウォール)も有効にしてませんでした。有効にしてたとなぜか思い込んでました。

被害にあってないから他人事なんですが、運営側は頑張ってるなとは思いました。単に、GMOは嫌いだけど、ロリポップさんはなんとなく好きだという個人的な感情からくるものだとは思います。

「.htaccess」「wp-config.php」の属性変更はされていて、そういう対応しましたメールも来てました。

被害にあったサーバーの探し方

私がやった方法
・「Hacked by Krad Xin」でGoogleで検索
・検索一覧で、緑色の部分URLがでるので、そのトップページを
 http://www.aguse.jp/で検索

表示される情報から、使っているサーバーを推測。
ロリポップがほとんどだったけど、一部違うところもあった。

実際に改ざん?された該当サイトにアクセスする行為は危険なのでやめたほうがよいです。

原因らしきもの?


当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ - レンタルサーバーならロリポップ!

当初から最初の侵入経路はtimthumb.phpだろうと思っていましたが…、t.okuboさんの情報提供で疑念は決定的になりました。
WordPress › フォーラム » サイト改ざん?

また、Facebookページを見ると、ユーザーがどんな手段を使ったのか?という質問をしていて、ご丁寧にも "symlink, mass deface" と回答していました(現在は削除されています)。それを手がかりにちょっとググると、シンボリックリンクの脆弱性をついた共有ホスティングのハッキング方法が色々見つかりました。また、同時にWordPressとJoomlaのサイトタイトルを変える方法までセットで解説してありました。


28日の20:30時点で、フォーラムでの情報とハッキング方法を調べた結果を照らしあわせて、サーバー内の一部のWordPressから攻撃スクリプトがアップロードされ、そのツールを使って.htaccessを変更、シンボリックリンクを有効にした上でその脆弱性を利用して同じサーバー内のwp-config.phpを入手、そしてアップロードしたPHPから正規のデータベースのパスワードで情報の書き換えを行った、というシナリオに確信が持てました。となると、wp-config.phpを防御するのが最優先となりますので、フォーラムにwp-config.phpのパーミッション変更をお願いする内容を投稿しました。
WordPress › フォーラム » サイト改ざん?

 攻撃者はWordPressの設定情報ファイル「wp-config.php」からデータベース接続に必要な情報を抜き出して情報を書き換えていた。同社はWordPressで使用しているデータベースのパスワードと該当するデータベースを使っているCMSの設定ファイル上のパスワードの書き換えを行うなどの対応を実施している。
「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備 - ITmedia ニュース


参考

レンタルサーバーの利用者間では、ファイルは閲覧できない


閲覧権限がないファイルにシンボリックリンクを設定できる


閲覧できない情報をシンボリックリンク攻撃により表示する


シンボリックリンク攻撃が成立する条件
冒頭に書いたように、シンボリックリンク攻撃が成立する条件は下記の両方が成立する場合です。
FollowSymLinksが有効になっているか、攻撃者が.htaccessによりFollowSymLinksを有効にできる
攻撃者が、公開ディレクトリにシンボリックリンクを設定できる
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 | 徳丸浩の日記

とはいえ、wp-config.phpにアクセスしても、PHPのコードが実行されるだけで、ファイルの中にあるパスワードなどを見ることはできません。

そのため、攻撃者は自分のディレクトリ内に、wp-config.txtなどPHPと認識されない拡張子のファイル名で、他ユーザのwp-config.phpへのシンボリックリンクを張り、自分のウェブサイト経由でアクセスすれば、テキストファイルとして他ユーザのwp-config.phpの中身をテキストとして閲覧することが可能になります。

共用サーバにおけるSymlink Attacksによる攻撃とその対策について - さくらインターネット創業日記

ロリポップのWordPress改ざんが話題になっているので今試してみたら、なんとmysql570.phy.lolipop.jpも思いっきりグローバル側から接続できるようになっていた……。
ロリポップは、MySQLサーバにグローバルから接続できる(ものがある)? - ろば電子が詰まっている

スポンサーリンク