技術のタマゴTOPPC豆知識
2014年01月22日

実は大事件だったバリューサーバー(s1.valueserver.jp)改ざんを振り返って思うこと

〜WordPressって面倒くさがり屋さんには向かない&やっぱバックアップ大切〜
・・・でも一番重要なのはレンタルサーバ会社の管理体制・・・


2014年1月19日夕方から、自分のサイトがクラッキング(ハッキング)
されているのをウォッチしてきたわけです。

Hacked by Jacko Nexus と 0wnded by Gantengers Crew への対処法
 【VALUE-SERVER】


自分のサイトとは言っても、現在は更新停止中。来客も少ない。
ワードプレスで作られた共同サイトで、データはs1.valueserver.jp上にあり、
私の管理下にはなく(データ管理責任者は dwm.me のTomさん)、
ある意味、高見の見物状態というか、自分で対処しようがないので、
落ち着いて情報収集ができていた感があります。

つっても、クラックされた自分のサイトを見たときは、かなーり
ぎょぎょっとしましたよ!

HackedbyJackoNexus.png

くっ、黒い!Hacked by だとう!!

*****

すぐさまツイッター検索したところ、なんとなく状況がつかめたので、
共同管理者のTomさんに、こんなことになってるよ、と、
対策を丸投げして、子供達を寝かしつけて、一緒にうとうと。

夜中に目を覚ますと、s1.valueserver.jpへのクラッキングについて
というユーザーフォーラムが立ち上がっていて、第二弾の改ざんが
起こっていたものの、とりあえず、サイト一般閲覧者のPCにウイルスが
仕込まれたりするようなものではないと分かって一安心しました。

でも、これはきっとまた改ざんが来る、と思ったので、再攻撃が
あったさいに閲覧できなくなる可能性があるバリューサーバーではなく
さくらのレンタルサーバ上にある、このブログで記事を書き、
ユーザーフォーラムと、s1の障害情報への入口を作りました。

だって、難しいことは知ったかぶりをせず、よく分かっている人たちで
情報交換していただいた方がいいですもんね。

*****

たまたま20日は仕事もなく、一日中、障害復帰状況を追っていたのですが、
夕方にまた、第三・四弾の改ざんが起こってしまいました。

現在は、不正プログラムが発見・削除され、開いていてはいけない
ポート(データの出入口)はふさがれ、第五弾の攻撃があったものの
今のところブロックできている、という状態のようです。

*****

今回の件で、ものすごくヤバかったのは何かというと、クラッカーが
「root権限」でサーバ内のファイルを操作できる状態だった、ということです。

root権限というのは、”アクセス権の設定にかかわらず、すべての
ファイルに無制限にアクセスすることが可能”
な権限。
これじゃ、ユーザー側が、自分でどんなアクセス制限をかけていても
対処しようがないです。お手上げ。

どうしてこんなことが可能になってしまったかというと、詳しくは
フォーラムと障害情報を読んでいただいた方がいいと思うのですが、
以下に引用してみます。


・あるユーザーにて、WordPressの脆弱性をつき、不正なプログラムが設置された
・そのプログラムからシステムの脆弱性つかれ、インデックスページを書き換えるプログラムを実行された
                                  ”
  〜 障害情報より

ワードプレス本体か、テーマか、プラグインかは不明ですが、
WordPressの脆弱性がそのままになっていた、あるユーザーの領域に
不正プログラムを設置、さらにシステムの脆弱性をついて
root権限をゲット、サーバ内のいろんなユーザーのindexという
文字列を含むファイルを書き換えまくった、ということです。
(サーバ管理側によって改ざんされたファイルは削除されました)

クラッカー(ハッカー)の意図はよく分かりませんが、しようと思えば
何でもできたのに、最初はやらなかった、ブロックができたとはいえ、
22日に第五弾の攻撃が来た、ということは、対策が間に合わなければ、
もっと悪質な書き換えが行われていたかもしれません。

第四弾の改ざんで、個別ページに表示されたメッセージ、

”why we hack your server?? defacer_indonesia@ymail.com”

「ほらほら、ボクがキミのところに隠した宝箱を見つけてみなよ。
 早くしないと、箱に入っている時限爆弾が爆発しちゃうよ?」

そんな風に挑発しているように、私には思えました。

*****

で、またロリポップ!(こちらもGMO系列)の改ざん事件のときみたいに
ワードプレスの脆弱性を突かれちゃったか〜、ちゃんとこまめに
バージョンアップしなきゃね、とか思っちゃうわけです。

たしかにそれはすごく大事なんですが、それで防げるのは「自分」が
踏み台にされることだけで、共用サーバを一緒に使っている人が
全員こまめに更新するようになる、ていうのはけっこう不可能に
近いんじゃないかと。

【緊急警報!!】ロリポップとGMOのinterQのWordPressが
 軒並み乗っ取られてます
 〜 More Access! More Fun!

続) ロリポップのWordPress大量乗っ取りについての推測と対応
   〜 More Access! More Fun!

ブログを更新しているときはマメにアップデートしてても、
更新停止しちゃったら、放置しがちですよね。

そもそもアップデートの仕方が分からないって場合もあります。
簡単インストールでよく分からないまま設置したとか、
自分で作ってない場合。

外注に出して作ってもらったWordPressサイトだと、社内の担当者で
コンテンツの更新だけはできても、本体のアップデートなんて
よく分かんない、怖くてできない、とか、
子テーマだけで収束しないカスタマイズをしちゃって、不用意に
テーマをアップデートできない、とか、いろいろ起こってきて、
結局めんどうになって放置しちゃったり、結果として、誰も管理
していない古いワードプレスサイト・ブログ、っていうのは、
世の中に無数に存在しちゃってるわけなのですよ。

三日坊主だって自覚している人は、作らない方がいいと思いますよ、
WordPressサイト。お試しに作ってもいいけど、面倒で無理と思ったら、
放置する前に削除です。

お金を払わないと契約が切れてしまう有料サーバとか、
更新しないとコンテンツ削除される規約のある無料サーバなら
まだいいんですけど、無料のレンタルサーバは危険ですよね。
放置サイトだらけ。

※ここで言いたいのは、WordPressだから悪い、危険というわけではなく、
使っているユーザーが多いだけに、放置している人も、分からないまま
使って管理できていない人も多く、狙われやすいCMSだということです。

【重要な追記 1/23】

※ロリポップ!は、当初、大量改ざんの原因を「ブルートフォースアタック」や「WordPressのテーマやプラグインの脆弱性」とする推測を発表していましたが、
後に「簡単インストールの仕様」と「サーバー側の設定」不備が改ざんの
主な要因だったと訂正しています。(つまり、ほぼ全面的に管理側の不備だった)

第三者によるユーザーサイトの改ざん被害に関するご報告
   〜 ロリポップ!レンタルサーバー

共用サーバにおけるSymlink Attacksによる攻撃とその対策について
   〜 さくらインターネット創業日記

*****

私は、開けておかなくてもいいポートを開けっ放しにしていた
バリューサーバー側の管理が、やっぱり悪かったと考えているのです。
開いているポートって、外部から簡単に調べられちゃうんですよね。
きっかけはともかく、システムに不備がなければサーバ全体が
クラックされるのは防げていたんですよね。

ですが、日々、ハッキングに命をかけて?楽しんでいる頭のいい方達と、
同じ共用サーバにいる、ぼんやりしたユーザーさんのことも考えて、
何か書き換えられたり、仕込まれたり、削除されてしまったときのために、
自分で定期的にバックアップデータを取って、手元または違うサーバ上に
持っておくのって、基本的ですっごく大切なことだと思うのです。

いざとなったらクラックされたサーバ上のデータを全削除して、
違うサーバにでもバックアップしておいたデータをアップすれば、
サイトの復帰はすぐにできるのですから。

私もそんなにこまめに取ってないけどね。面倒だけどね、分かるけどね。

*****

長々と書いてきましたが、今回の件、自分自身で借りているサーバで
起きたことではないとはいえ、けっして他人事ではありません。

技術に強い人が多いバリューサーバーで、s1サーバのユーザーは130名弱、
たまたまロリポップ!のときのように大騒ぎをするユーザー層ではなく、
読者数が多いサイトが含まれていなかったのか、ほとんどニュースになっては
いませんが、これはかなりの大事件ですよ。

最後に自戒を込めて。消えては困るデータは自分でバックアップ。
これ、自分でできる一番大切なことです。






タグ:Wordpress
posted by かこ at 13:59 | Comment(2) | TrackBack(0) | PC豆知識
2014年01月20日

Hacked by Jacko Nexus と 0wnded by Gantengers Crew への対処法【VALUE-SERVER】

2014年1月19日16:40頃、バリューサーバー、s1.valueserver.jpが
クラッキング(ハッキング)されました。

HackedbyJackoNexus.png
(Hacked by Jacko Nexus)

二度目の書き換えがあったのは、22時過ぎに二回。今度は音楽が流れます。

0wnedbyGantengersCrew.png
(0wnded by Gantengers Crew)

今のところ、サイトの閲覧者に悪影響がある改ざんではないようですが、
VALUE-SERVER側で根本的な対処が行われない限り、いつ悪意のあるページに
書き換えられても不思議ではない状態です。

最新の情報や、技術情報の共有は、VALUE-DOMAIN.comのユーザーフォーラム、
s1.valueserver.jpへのクラッキングについて にてお願いします。

1月20日00:50に障害情報も出ていて、サーバ管理側でも脆弱性について
対策中のこと。

サーバ側の対策がされない限り、ファイルを修正しても、また
書き換えられてしまう可能性はありますが、現在の状態だと、
次の対処方法でサイトを修正することができるそうです。

**********************************************

トップディレクトリの
id.htm、in.php、index.php、index.htm、index.htmlを削除(※1)。

元からあったindex.*は改ざんされているので、修正。

WordPressサイトの場合だと、上記5ファイルを削除後、
index.phpを再設置(※2)。
wp-admin/index.phpを修正(wordpressの管理画面に入れない)。

DBは今のところ問題なし。  (ユーザーフォーラムより抜粋)

**********************************************

【※1】in.phpについて(詳細はフォーラム参照)

in.phpですが、"普通は"白紙ページを返すように見えますが、
特定のパラメータを渡すと悪いことが出来るようになっています。
いつ悪意のあるページに書き換えられてもおかしくありません
何もしないように見えてもっとも危険。必ず削除を。

【※2】WordPress、index.phpの設置箇所

wordpress.org または ja.wordpress.org からダウンロードした
.zipファイルを解凍し中にあるindex.phpを再設置してください。
英語版と日本語版の違いはありますが、index.phpは一緒です。

解凍して出来たwordpress直下のindex.phpをトップディレクトリに。
wp-adminの中にあるindex.phpをサーバーのwp-admin直下に配置。
2つのindex.phpの中身は違うので間違えないようにしてください。
さらに、wp-admin/user/index.php、wp-admin/network/index.php他、
各テーマ、プラグイン、にもインデックスファイルは存在しますので
設置してください。

(注意点をフォーラムに書き込みのあったTomさんからいただきました。
 ありがとうございました!)

**********************************************

Gantengers Crew というインドネシアのチームが、全世界で
悪さをしているという話です。

もし、自分のお気に入りサイトが改ざんされているのを発見した場合は、
現時点ではサイトを見てしまっても危険は無いので、慌てずに、
運営している方に、お知らせしてあげてくださいね!

【追加情報】

1月20日午前3時現在、s1.valueserver.jp上のサイトには接続が
できない状況になっています。サーバ管理側で対応中のようです。

⇒ サーバ復帰を確認しました。7:00

⇒ 改ざんファイルの削除作業を実施中とのアナウンスあり。11:40

⇒ 「index*」というファイル(改ざんされていた)は、管理側で
  退避完了・確認中とのアナウンスがありました(ファイル削除)。
  バックアップ等から、必要なインデックスページのデータを
  自分でサーバに上げて復旧させてください。12:40

  データ復旧前は、サイトが403 Forbidden。
  WordPressであれば管理画面にも入れない状態です。
  ハッカーに追加されたid.htm、in.phpもフォルダに残っていないか、
  自分で確認、あれば削除してください。

⇒ id.htm、in.php、index.php、index.htm、index.htmlは、
  改ざんがあった場合のみ削除されたとのことです。
  必要ファイルがない場合はアップロードして対処してください。15:40

サーバ管理側では、これで障害対応完了とするようです。
⇒ 14:40〜 他サーバでも緊急メンテナンス(システムアップデート・
  再起動作業)が行われています。

”#しかし未だ開ける必要のないポートが沢山開いている…。
iptablesでファイアウォール設定とかやってないのでしょうね…。
OSやミドルウェアの更新とかも定期的にやらずに放置だったのでしょうね…。”
                  〜フォーラムより

ダイジョブですかね?バリューサーバー。ていうかGMOさん。

第三・四弾の改ざんを確認しました。17:20、18:00
  ”why we hack your server??” 完全に遊ばれてます。
  最新の対応策はフォーラム

  インデックスファイルを再アップロードすることで、復旧したサイトも
  多いようですが、いつ第五弾の攻撃が来るか分かりません。
  サーバ管理側で侵入口となりうるポートを塞ぐなど、現状考えられうる
  対策が施されたとは言え、相手がその気になれば、全面的な書き換えも
  できるのかもしれません。
  基本的なことではありますが、データベースも含め、全てのフォルダ・
  ファイルのバックアップをとっておくことをお勧めします。

  障害情報によると、WordPressの脆弱性をついて、あるユーザーに
  不正なプログラムが設置されていたそうです。
  この該当者一人にだけ原因があったわけではなく、他のユーザーでも
  WordPressの脆弱性がそのままになっているのが発見されたそうです。
  s1サーバ以外でも現在不正プログラムの有無のチェック中とのことで、
  動作実行がなかっただけで、やはり他のサーバも他人事というわけ
  ではなかったんですね。 21日7:00

 ”同攻撃者からの試行が確認できておりますが、再発はしていない”
  とのアナウンスがありました。まだまだ狙われているようです。
  22日2:30

続きを書きました⇒
実は大事件だったバリューサーバー(s1.valueserver.jp)改ざんを
 振り返って思うこと


*****

こちらにも詳しい情報があります。

VALUE SERVER クラッキング、改ざん被害 (s1.valueserver.jpの件)
 対応後も再び改ざん!!
〜 ばびぶべぼBlog

(下記の2サイトはVALUE SERVER【s1】上にありアクセスできないときも)

s1.valueserver.jpがクラッキングされファイルが改竄された
 件について(二度目の改竄あり)
〜 KUMALOG

クラッキング(ハッキング)被害を受けたサイト管理者がとるべき
 2つの重要な対策
〜 Big Bang






タグ:Wordpress
posted by かこ at 03:06 | Comment(0) | TrackBack(1) | PC豆知識
2013年12月29日

ネットショップで働いて改めて気づいたこと〜伝えるためのデザイン

デザインのためのデザインはいらない!

今年の5月、ずっとやってみたいと思っていたネットショップの
仕事(主に更新業務)に就くことができました。

出店・出品しているのは、楽天市場だったり、Amazonだったりするのですが、
お客さまが必要としている商品は、ただ分かるように置いておくだけで
売れるんだなぁ、と何度も感じました。

一番必要なのは、一目みただけで、どんな商品なのか分かるクリアな画像。
商品についての詳細情報、価格、サイズや素材などを正確に伝えること。
在庫や納期を正確に入力し、注文された品物が間違いなく素早く
届くようにすること。

商品を盛って飾りたてることではなく、どれだけその商品の魅力を
そのまま素直に伝えるか。伝わるように伝えるか。

*****

特集ページやバナーも担当させていただきましたが、
自分が素敵だと思うデザインを作るよりも、セール感や、お買い得感を
いかに届けるか、何についてのページなのか、ぱっと見ただけで
分かるようにすることが、とても大切。

私の勤務時間、週三日、一回5時間で出来ることを考える。

時間があったら作り込めるかもしれないけれど、決まった時間の中で、
最低限これだけは!という状態を先に作り、余裕があるときは、
よりよくしていくけれど、やらなくてもそのままで売れる状態ならば、
自分で完成度に納得いかなくても、先に進む。

伝わればそれでよしとする。

反対に、商品自体に魅力はあると思うのに、売れない場合は、商品ページを
見直し、伝えきれていない、足りていない部分を補強しました。

この商品を必要としている人が知りたいことは何だろう?

どんな状況で必要としていて、どんな情報を追加すれば後押しになるんだろう?
どこから導線を作れば、このページにたどり着いてくれるだろう?
そんなことをいつも考えていました。お休みの時も。

*****

私のいるお店は、自分のために買うというよりも、お子さんやお孫さん、
大切な誰かのために贈るための品物が多くて、そこには、
その人に喜んでもらいたい、っていう気持ちが詰まっていて、
ただ注文が入った、だから荷物を出す、ていうんじゃないんですよね。

レビューに、思った通りの、思った以上の素敵な商品で、贈った
相手がとっても喜んでました!なんて言葉をいただいたりしたら、
本当にすっごく嬉しくて。

逆に、レビューでお叱りを受けたり、お問い合わせを受けて、
ああ、この情報が足りなかったと反省して追加することもあったり。

レビューやクレームの向う側に見えるのは、贈る相手を大切に思う気持ち。

私たちは、お客さまの気持ちをお預かりしているのだと思うのです。

商品について、良い点も悪い点も、正直にちゃんと伝わるように
伝えること。商品ページを見て納得して購入していただいて、
予想した通りの商品が間違いなく届くこと。それが一番大事。

お客さまが必要とする情報が、伝わるところにありますか?

そう自問する日々であったりします。

*****

まだまだひよっこ店員で、まだまだやりたいこと、やれてないことが
たくさんあって、力もぜんぜん足りなくて。
まだよく分かっていないこともたくさんあって。
なのに多くのことをお任せしていただけて。

このお店のこの仕事に就かせていただいたことを
しみじみとありがたく幸運なことだったと思う年末だったりします。

posted by かこ at 17:00 | Comment(2) | TrackBack(0) | PC豆知識