技術のタマゴTOPPC豆知識実は大事件だったバリューサーバー(s1.valueserver.jp)改ざんを振り返って思うこと
2014年01月22日

実は大事件だったバリューサーバー(s1.valueserver.jp)改ざんを振り返って思うこと

〜WordPressって面倒くさがり屋さんには向かない&やっぱバックアップ大切〜
・・・でも一番重要なのはレンタルサーバ会社の管理体制・・・


2014年1月19日夕方から、自分のサイトがクラッキング(ハッキング)
されているのをウォッチしてきたわけです。

Hacked by Jacko Nexus と 0wnded by Gantengers Crew への対処法
 【VALUE-SERVER】


自分のサイトとは言っても、現在は更新停止中。来客も少ない。
ワードプレスで作られた共同サイトで、データはs1.valueserver.jp上にあり、
私の管理下にはなく(データ管理責任者は dwm.me のTomさん)、
ある意味、高見の見物状態というか、自分で対処しようがないので、
落ち着いて情報収集ができていた感があります。

つっても、クラックされた自分のサイトを見たときは、かなーり
ぎょぎょっとしましたよ!

HackedbyJackoNexus.png

くっ、黒い!Hacked by だとう!!

*****

すぐさまツイッター検索したところ、なんとなく状況がつかめたので、
共同管理者のTomさんに、こんなことになってるよ、と、
対策を丸投げして、子供達を寝かしつけて、一緒にうとうと。

夜中に目を覚ますと、s1.valueserver.jpへのクラッキングについて
というユーザーフォーラムが立ち上がっていて、第二弾の改ざんが
起こっていたものの、とりあえず、サイト一般閲覧者のPCにウイルスが
仕込まれたりするようなものではないと分かって一安心しました。

でも、これはきっとまた改ざんが来る、と思ったので、再攻撃が
あったさいに閲覧できなくなる可能性があるバリューサーバーではなく
さくらのレンタルサーバ上にある、このブログで記事を書き、
ユーザーフォーラムと、s1の障害情報への入口を作りました。

だって、難しいことは知ったかぶりをせず、よく分かっている人たちで
情報交換していただいた方がいいですもんね。

*****

たまたま20日は仕事もなく、一日中、障害復帰状況を追っていたのですが、
夕方にまた、第三・四弾の改ざんが起こってしまいました。

現在は、不正プログラムが発見・削除され、開いていてはいけない
ポート(データの出入口)はふさがれ、第五弾の攻撃があったものの
今のところブロックできている、という状態のようです。

*****

今回の件で、ものすごくヤバかったのは何かというと、クラッカーが
「root権限」でサーバ内のファイルを操作できる状態だった、ということです。

root権限というのは、”アクセス権の設定にかかわらず、すべての
ファイルに無制限にアクセスすることが可能”
な権限。
これじゃ、ユーザー側が、自分でどんなアクセス制限をかけていても
対処しようがないです。お手上げ。

どうしてこんなことが可能になってしまったかというと、詳しくは
フォーラムと障害情報を読んでいただいた方がいいと思うのですが、
以下に引用してみます。


・あるユーザーにて、WordPressの脆弱性をつき、不正なプログラムが設置された
・そのプログラムからシステムの脆弱性つかれ、インデックスページを書き換えるプログラムを実行された
                                  ”
  〜 障害情報より

ワードプレス本体か、テーマか、プラグインかは不明ですが、
WordPressの脆弱性がそのままになっていた、あるユーザーの領域に
不正プログラムを設置、さらにシステムの脆弱性をついて
root権限をゲット、サーバ内のいろんなユーザーのindexという
文字列を含むファイルを書き換えまくった、ということです。
(サーバ管理側によって改ざんされたファイルは削除されました)

クラッカー(ハッカー)の意図はよく分かりませんが、しようと思えば
何でもできたのに、最初はやらなかった、ブロックができたとはいえ、
22日に第五弾の攻撃が来た、ということは、対策が間に合わなければ、
もっと悪質な書き換えが行われていたかもしれません。

第四弾の改ざんで、個別ページに表示されたメッセージ、

”why we hack your server?? defacer_indonesia@ymail.com”

「ほらほら、ボクがキミのところに隠した宝箱を見つけてみなよ。
 早くしないと、箱に入っている時限爆弾が爆発しちゃうよ?」

そんな風に挑発しているように、私には思えました。

*****

で、またロリポップ!(こちらもGMO系列)の改ざん事件のときみたいに
ワードプレスの脆弱性を突かれちゃったか〜、ちゃんとこまめに
バージョンアップしなきゃね、とか思っちゃうわけです。

たしかにそれはすごく大事なんですが、それで防げるのは「自分」が
踏み台にされることだけで、共用サーバを一緒に使っている人が
全員こまめに更新するようになる、ていうのはけっこう不可能に
近いんじゃないかと。

【緊急警報!!】ロリポップとGMOのinterQのWordPressが
 軒並み乗っ取られてます
 〜 More Access! More Fun!

続) ロリポップのWordPress大量乗っ取りについての推測と対応
   〜 More Access! More Fun!

ブログを更新しているときはマメにアップデートしてても、
更新停止しちゃったら、放置しがちですよね。

そもそもアップデートの仕方が分からないって場合もあります。
簡単インストールでよく分からないまま設置したとか、
自分で作ってない場合。

外注に出して作ってもらったWordPressサイトだと、社内の担当者で
コンテンツの更新だけはできても、本体のアップデートなんて
よく分かんない、怖くてできない、とか、
子テーマだけで収束しないカスタマイズをしちゃって、不用意に
テーマをアップデートできない、とか、いろいろ起こってきて、
結局めんどうになって放置しちゃったり、結果として、誰も管理
していない古いワードプレスサイト・ブログ、っていうのは、
世の中に無数に存在しちゃってるわけなのですよ。

三日坊主だって自覚している人は、作らない方がいいと思いますよ、
WordPressサイト。お試しに作ってもいいけど、面倒で無理と思ったら、
放置する前に削除です。

お金を払わないと契約が切れてしまう有料サーバとか、
更新しないとコンテンツ削除される規約のある無料サーバなら
まだいいんですけど、無料のレンタルサーバは危険ですよね。
放置サイトだらけ。

※ここで言いたいのは、WordPressだから悪い、危険というわけではなく、
使っているユーザーが多いだけに、放置している人も、分からないまま
使って管理できていない人も多く、狙われやすいCMSだということです。

【重要な追記 1/23】

※ロリポップ!は、当初、大量改ざんの原因を「ブルートフォースアタック」や「WordPressのテーマやプラグインの脆弱性」とする推測を発表していましたが、
後に「簡単インストールの仕様」と「サーバー側の設定」不備が改ざんの
主な要因だったと訂正しています。(つまり、ほぼ全面的に管理側の不備だった)

第三者によるユーザーサイトの改ざん被害に関するご報告
   〜 ロリポップ!レンタルサーバー

共用サーバにおけるSymlink Attacksによる攻撃とその対策について
   〜 さくらインターネット創業日記

*****

私は、開けておかなくてもいいポートを開けっ放しにしていた
バリューサーバー側の管理が、やっぱり悪かったと考えているのです。
開いているポートって、外部から簡単に調べられちゃうんですよね。
きっかけはともかく、システムに不備がなければサーバ全体が
クラックされるのは防げていたんですよね。

ですが、日々、ハッキングに命をかけて?楽しんでいる頭のいい方達と、
同じ共用サーバにいる、ぼんやりしたユーザーさんのことも考えて、
何か書き換えられたり、仕込まれたり、削除されてしまったときのために、
自分で定期的にバックアップデータを取って、手元または違うサーバ上に
持っておくのって、基本的ですっごく大切なことだと思うのです。

いざとなったらクラックされたサーバ上のデータを全削除して、
違うサーバにでもバックアップしておいたデータをアップすれば、
サイトの復帰はすぐにできるのですから。

私もそんなにこまめに取ってないけどね。面倒だけどね、分かるけどね。

*****

長々と書いてきましたが、今回の件、自分自身で借りているサーバで
起きたことではないとはいえ、けっして他人事ではありません。

技術に強い人が多いバリューサーバーで、s1サーバのユーザーは130名弱、
たまたまロリポップ!のときのように大騒ぎをするユーザー層ではなく、
読者数が多いサイトが含まれていなかったのか、ほとんどニュースになっては
いませんが、これはかなりの大事件ですよ。

最後に自戒を込めて。消えては困るデータは自分でバックアップ。
これ、自分でできる一番大切なことです。






タグ:Wordpress
posted by かこ at 13:59 | Comment(2) | TrackBack(0) | PC豆知識
この記事へのコメント
最大の問題は、デジロック社が公式にきっちりした発表をせず、
コソコソ隠蔽・・・とまでは言わないまでもうやむやにしようとしている点だと思います。

http://www.value-server.com/ のトップページを見ても、
あんな大事件があったことなど忘れたかのような感じです。

普通、新規募集を停止して全サーバーを点検しなおす・・・とかしても
いいくらいの大事件だと思うのですが。


それはともかく、こちらのブログ様のおかげで、
事件経過がよく分かって助かりました。
ありがとうございます。
Posted by ショウガ at 2014年01月27日 15:50
こちらこそ、フォーラムを読んで勉強させていただきました。
少しでもお役に立てたのでしたら嬉しいです。ありがとうございます!

サーバのこと等あまり詳しくないものですから、間違いがないか調べ調べで
書いていましたので、何か情報に誤りがありましたらご指摘ください。

一応、全サーバの点検は走ったみたいですね。
一ユーザーの領域から、サーバ全体を書き換えるクラッキングは
以前からあるようですし、アクセス権の初期設定や、
余計なポートは開けておかない対策等、レンタルサーバ会社は
他社の前例も勉強しながら、見落とさずにやってほしいものだと思います。
ただのユーザーとは違ってプロですものね。

バリューサーバー、valueserverで検索すると、現時点ではそれなりに
改ざんの記事も出てきますけれど、このまま何事も無かったように
忘れられてしまうのかもしれないですね・・・。
Posted by かこ at 2014年01月27日 17:18
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/85750497
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック