アカウント名:
パスワード:
週末しか自分のサイトを確認していなかったのですが、今、管理者用アカウントでログインしたところ見事にクラッキングされていました。ログイン後の最初のページの左上に「Hacked by Krad Xin」と出ています。まだ、ぱらっと見ただけですが、と文字コードがUTF-7に指定されていました。ブラウザで文字コードを強制的に変更してやれば見えるようです。
ネットでwb-config.phpのアクセス権が不適切な設定がされていると見られるのでは、というのがありましたが、FTPで確認しましたが、現在のwb-config.phpのアクセス権は400(オーナー以外呼び出し不可)になっています。変えた覚えがないので、Lolipop側で変更されたんでしょうか?
Lolipopが変更作業をやっているようですLolipopのサイトにも出てるし、別コメにもあるように、メールで「変更する(した)」の連絡が来てるはず
このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。後者だと、全部まとめてサービス側の責任のような気も。
# VPS使ってて良かった・・・
>このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。
Wordpress自体はオープンソースで公開、配布されていて、自分でウェブサーバー上にインストールできますが、多くのレンタルサーバーでは手軽に始められるようにと、ウェブ画面から簡単にインストールできる機能を提供しています。つまりどちらもありうるわけです。
ロリポップでは後者において問題があったとされていますが、ユーザーが自分でインストール場合でもパーミッションを適切に設定しないミスをすることもありえます。が、やはり今回の大規模な被害についてはロリポップの責任でしょう
「脳内で起きた妄想かもしれない事を、root(カブ)に影響を与えるように広めると、風説の流布になりますよ。」と妄想した。
それより、.htaccessとか、mysqlパスワードとか、設定ファイルとか、いくらレン鯖でも知らないところで勝手に変更されるって、ちょっと違和感あるな。
Webからの間接編集するタイプならまだ分かるが、設定ファイルに直書きしてる場合だと、内容も書き方も個人によって違うだろうし、他への影響考えると勝手に変えるの望ましくないだろうな。バージョン管理なんかしてたら、デグレとかマージとかが大変そうだ。
使った事無いから規約がどうなっ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
経過報告 (スコア:3, 興味深い)
週末しか自分のサイトを確認していなかったのですが、今、管理者用アカウントでログインしたところ見事にクラッキングされていました。
ログイン後の最初のページの左上に「Hacked by Krad Xin」と出ています。
まだ、ぱらっと見ただけですが、と文字コードがUTF-7に指定されていました。
ブラウザで文字コードを強制的に変更してやれば見えるようです。
ネットでwb-config.phpのアクセス権が不適切な設定がされていると見られるのでは、というのがありましたが、
FTPで確認しましたが、現在のwb-config.phpのアクセス権は400(オーナー以外呼び出し不可)になっています。
変えた覚えがないので、Lolipop側で変更されたんでしょうか?
Re:経過報告 (スコア:1)
Lolipopが変更作業をやっているようです
Lolipopのサイトにも出てるし、別コメにもあるように、メールで「変更する(した)」の連絡が来てるはず
Re: (スコア:0)
このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。
後者だと、全部まとめてサービス側の責任のような気も。
# VPS使ってて良かった・・・
Re:経過報告 (スコア:1)
>このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。
Wordpress自体はオープンソースで公開、配布されていて、自分でウェブサーバー上にインストールできますが、
多くのレンタルサーバーでは手軽に始められるようにと、ウェブ画面から簡単にインストールできる機能を提供しています。
つまりどちらもありうるわけです。
ロリポップでは後者において問題があったとされていますが、
ユーザーが自分でインストール場合でもパーミッションを適切に設定しないミスをすることもありえます。
が、やはり今回の大規模な被害についてはロリポップの責任でしょう
Re: (スコア:0)
「脳内で起きた妄想かもしれない事を、root(カブ)に影響を与えるように広めると、風説の流布になりますよ。」
と妄想した。
それより、.htaccessとか、mysqlパスワードとか、設定ファイルとか、いくらレン鯖でも知らないところで
勝手に変更されるって、ちょっと違和感あるな。
Webからの間接編集するタイプならまだ分かるが、設定ファイルに直書きしてる場合だと、内容も書き方も
個人によって違うだろうし、他への影響考えると勝手に変えるの望ましくないだろうな。
バージョン管理なんかしてたら、デグレとかマージとかが大変そうだ。
使った事無いから規約がどうなっ