パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「ロリポップ!」で大規模なWordPressへの攻撃発覚、注意喚起した人がなぜかGMO社長に絡まれる」記事へのコメント

  • 経過報告 (スコア:3, 興味深い)

    by Anonymous Coward

    週末しか自分のサイトを確認していなかったのですが、今、管理者用アカウントでログインしたところ見事にクラッキングされていました。
    ログイン後の最初のページの左上に「Hacked by Krad Xin」と出ています。
    まだ、ぱらっと見ただけですが、と文字コードがUTF-7に指定されていました。
    ブラウザで文字コードを強制的に変更してやれば見えるようです。

    ネットでwb-config.phpのアクセス権が不適切な設定がされていると見られるのでは、というのがありましたが、
    FTPで確認しましたが、現在のwb-config.phpのアクセス権は400(オーナー以外呼び出し不可)になっています。
    変えた覚えがないので、Lolipop側で変更されたんでしょうか?

    • by Anonymous Coward

      このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。
      後者だと、全部まとめてサービス側の責任のような気も。

      # VPS使ってて良かった・・・

      • by Anonymous Coward on 2013年08月31日 3時04分 (#2451438)

        >このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。

        Wordpress自体はオープンソースで公開、配布されていて、自分でウェブサーバー上にインストールできますが、
        多くのレンタルサーバーでは手軽に始められるようにと、ウェブ画面から簡単にインストールできる機能を提供しています。
        つまりどちらもありうるわけです。

        ロリポップでは後者において問題があったとされていますが、
        ユーザーが自分でインストール場合でもパーミッションを適切に設定しないミスをすることもありえます。
        が、やはり今回の大規模な被害についてはロリポップの責任でしょう

        親コメント

身近な人の偉大さは半減する -- あるアレゲ人

処理中...