パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「ロリポップ!」で大規模なWordPressへの攻撃発覚、注意喚起した人がなぜかGMO社長に絡まれる」記事へのコメント

  • 経過報告 (スコア:3, 興味深い)

    by Anonymous Coward on 2013年08月30日 23時18分 (#2451341)

    週末しか自分のサイトを確認していなかったのですが、今、管理者用アカウントでログインしたところ見事にクラッキングされていました。
    ログイン後の最初のページの左上に「Hacked by Krad Xin」と出ています。
    まだ、ぱらっと見ただけですが、と文字コードがUTF-7に指定されていました。
    ブラウザで文字コードを強制的に変更してやれば見えるようです。

    ネットでwb-config.phpのアクセス権が不適切な設定がされていると見られるのでは、というのがありましたが、
    FTPで確認しましたが、現在のwb-config.phpのアクセス権は400(オーナー以外呼び出し不可)になっています。
    変えた覚えがないので、Lolipop側で変更されたんでしょうか?

    • by Anonymous Coward on 2013年08月31日 0時20分 (#2451384)

      Lolipopが変更作業をやっているようです
      Lolipopのサイトにも出てるし、別コメにもあるように、メールで「変更する(した)」の連絡が来てるはず

      親コメント
    • by Anonymous Coward

      このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。
      後者だと、全部まとめてサービス側の責任のような気も。

      # VPS使ってて良かった・・・

      • by Anonymous Coward on 2013年08月31日 3時04分 (#2451438)

        >このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。

        Wordpress自体はオープンソースで公開、配布されていて、自分でウェブサーバー上にインストールできますが、
        多くのレンタルサーバーでは手軽に始められるようにと、ウェブ画面から簡単にインストールできる機能を提供しています。
        つまりどちらもありうるわけです。

        ロリポップでは後者において問題があったとされていますが、
        ユーザーが自分でインストール場合でもパーミッションを適切に設定しないミスをすることもありえます。
        が、やはり今回の大規模な被害についてはロリポップの責任でしょう

        親コメント
    • by Anonymous Coward

      「脳内で起きた妄想かもしれない事を、root(カブ)に影響を与えるように広めると、風説の流布になりますよ。」
      と妄想した。

      それより、.htaccessとか、mysqlパスワードとか、設定ファイルとか、いくらレン鯖でも知らないところで
      勝手に変更されるって、ちょっと違和感あるな。

      Webからの間接編集するタイプならまだ分かるが、設定ファイルに直書きしてる場合だと、内容も書き方も
      個人によって違うだろうし、他への影響考えると勝手に変えるの望ましくないだろうな。
      バージョン管理なんかしてたら、デグレとかマージとかが大変そうだ。

      使った事無いから規約がどうなっ

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...