アカウント名:
パスワード:
週末しか自分のサイトを確認していなかったのですが、今、管理者用アカウントでログインしたところ見事にクラッキングされていました。ログイン後の最初のページの左上に「Hacked by Krad Xin」と出ています。まだ、ぱらっと見ただけですが、と文字コードがUTF-7に指定されていました。ブラウザで文字コードを強制的に変更してやれば見えるようです。
ネットでwb-config.phpのアクセス権が不適切な設定がされていると見られるのでは、というのがありましたが、FTPで確認しましたが、現在のwb-config.phpのアクセス権は400(オーナー以外呼び出し不可)になっています。変えた覚えがないので、Lolipop側で変更されたんでしょうか?
このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。後者だと、全部まとめてサービス側の責任のような気も。
# VPS使ってて良かった・・・
>このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。
Wordpress自体はオープンソースで公開、配布されていて、自分でウェブサーバー上にインストールできますが、多くのレンタルサーバーでは手軽に始められるようにと、ウェブ画面から簡単にインストールできる機能を提供しています。つまりどちらもありうるわけです。
ロリポップでは後者において問題があったとされていますが、ユーザーが自分でインストール場合でもパーミッションを適切に設定しないミスをすることもありえます。が、やはり今回の大規模な被害についてはロリポップの責任でしょう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
経過報告 (スコア:3, 興味深い)
週末しか自分のサイトを確認していなかったのですが、今、管理者用アカウントでログインしたところ見事にクラッキングされていました。
ログイン後の最初のページの左上に「Hacked by Krad Xin」と出ています。
まだ、ぱらっと見ただけですが、と文字コードがUTF-7に指定されていました。
ブラウザで文字コードを強制的に変更してやれば見えるようです。
ネットでwb-config.phpのアクセス権が不適切な設定がされていると見られるのでは、というのがありましたが、
FTPで確認しましたが、現在のwb-config.phpのアクセス権は400(オーナー以外呼び出し不可)になっています。
変えた覚えがないので、Lolipop側で変更されたんでしょうか?
Re: (スコア:0)
このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。
後者だと、全部まとめてサービス側の責任のような気も。
# VPS使ってて良かった・・・
Re:経過報告 (スコア:1)
>このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。
Wordpress自体はオープンソースで公開、配布されていて、自分でウェブサーバー上にインストールできますが、
多くのレンタルサーバーでは手軽に始められるようにと、ウェブ画面から簡単にインストールできる機能を提供しています。
つまりどちらもありうるわけです。
ロリポップでは後者において問題があったとされていますが、
ユーザーが自分でインストール場合でもパーミッションを適切に設定しないミスをすることもありえます。
が、やはり今回の大規模な被害についてはロリポップの責任でしょう