• Hacked by Krad Xin ロリポップでクラック被害

    Date: 2013.08.31 | Category: ロリポップ | Tags:

    20130831004610
    先日、WordPressの虚弱性をついたアタックが猛威を振るっている、と騒がれていましたが、その後、ロリポップからメールが頻繁にやってきて、クラック被害が発生しています。と書かれていました。私は、WordPressをアップデートして、パスワードやadminの管理名も変えていたので、関係ない。と思っていたら・・・

    「Hacked by Krad Xin」というブログ名になってしまっていました。。。
    と言うか、トップページを表示させようとしても真っ白なまま。

    あれ?と思って、ソースを表示させると、ちゃんと文字などデータは送られてきている様子。

    ソース
    ん?タイトルが、「Hacked by Krad Xin | BD GREY HAT HACKERS」になっている・・・。
    しかも

    <meta http-equiv=”Content-Type” content =”text/html; charset=UTF-7”>

    と文字コードが書き換えられています。管理画面にログインすると、「?????????????」など文字化けで何がなんだかよくわからない状態。

    とりあえず、管理画面自体は文字コードを指定してやれば、うまく表示されるっぽい。

    ダッシュボードの文字化けを修正する

    ダッシュボード(管理画面)の文字化けの修正は、

    Internet Explorerの場合

    IEの文字コードを変更する方法
    もし、ブラウザにInternet Explorerを使っている場合、管理画面のどこでもいいので右クリックして、表示されたメニューの中の「エンコード」をクリック。
    サブメニューの中の「Unicode(UTF-8)」を選択してください。

    google Chromeの場合

    Chromeの文字コードを変更する方法 google Chromeの場合、右上の■で囲った部分をクリックします。

    20130831012315
    続いて「設定」をクリックします。

    フォントをカスタマイズをクリック
    「フォントをカスタマイズ」をクリックします。

    エンコード
    「エンコード」の部分を「Unicode (UTF-8)」に変更して、完了ボタンをクリックします。

    これで、管理画面(ダッシュボード)の文字化けは治ったと思います。

    文字コードの変更

    まだ、ブログの記事の方の文字化けが治っていないので、修正します。

    20130831013206ダッシュボードの「設定」の中の「表示設定」を開きます。

    ページとフィードの文字セット
    ページ下の方に文字コードに関する設定「ページとフィードの文字セット」があるので、「UTF-7」から「UTF-8」に修正します。
    ※UTF-8に指定すると、文字コードを変更する項目がなくなります。

    サイトのタイトルとキャッチフレーズの変更

    20130831003703
    サイトのタイトルと、その説明が変更されてしまっているので、「設定」の中の「一般」を開き、「サイトのタイトル」と「キャッチフレーズ」を入力し直します。

    あやしいウィジェットを削除する

    20130831004216
    それから「ウィジェット」にあやしいものが加わっているので、削除します。「ダッシュボード」の「外観」にある「ウィジェット」を開きます。

    あやしいウィジェット
    「テキスト」と書かれた部分をマウスでクリックしながら、移動すると動くので、「Home Sidebar」の枠から外します。

    これで、一応、クラックされたWordPressの修正は完了です。が、まだサイトを確認してみると、真っ白のままという人もいるでしょう。

    キャッシュを削除する

    WP Super Catch」のような表示を高速にするプラグインを使っていると、これだけでは真っ白のままで表示されません。

    WP Super Cache
    「プラグイン」にある「WP Super Cache」の「設定」をクリックします。

    20130831010301
    「キャッシュを削除」をクリックします。
    なお、WP Super Cacheを停止しただけでは、ダメなのでキャッシュを完全に削除してください。

    一応、これで元通りにはなったとは思いますが、修正しただけではまた改ざんされる可能性があるので、ロリポップの専用ページで対策を読んでおいたほうがいいかも。

    ちなみに、私のWordPressも改ざんされていましたが、一応、.htaccessで管理画面のIPアドレスの制限をしておいたのに、改ざんされました。また、WAFをオンにしておいたのに、この結果・・・。
    対策らしい対策は、まだないっぽい。

    原因と対策

    原因なのですが、はっきりとした原因はわからないっぽい。ロリポップ自体が原因ってわけではなく、他のレンタルサーバーでも被害が起こっている様子。
    一応、原因としては

    • プラグインやテーマの脆弱性をついた
    • wp-config.phpのパーミッション

    らしいのですが、プラグインやテーマの脆弱性をついたのであれば、ロリポップだけでなく他のレンタルサーバーでもじゅうぶんありえるし、プラグインやテーマは人によって様々なので、あまりこれが原因とは考えられにくいと思います。

    wp-confing.phpのパーミッションというのも、これも他のレンタルサーバーでもあり得るので、はたしてこれが原因なのかは・・・??
    一応、ロリポップでは強制的にwp-config.phpのパーミッションを400に変更したようなので、今後、被害にあったWordpressが増えなければこれが原因だったのかもしれません。
    逆に言うと、他のレンタルサーバーでもクラックされる可能性があるので、パーミッションを400に変更しておいたほうがいいかも。
    ちなみにwp-config.phpのパーミッションを400にしても、ブログ自体に影響はありません。

    関連ページ