起きてびっくり,サイト改竄? at よそ様-続報。

 いろいろ,情報が出ているようだが,ロリさんからの詳細情報は,われわれが利用できるような意味では(具体的にどのファイルのどの脆弱性を使われたとか,サーバのどの穴を突かれたとか ― 望むほうが無理かいな),詳細には出ていないようだ。しかし,状況としては少し落ち着いてきたのだろうか。

 hissy さんが今時点(朝8:55ごろ)での見解をまとめられていて,参考になるのでリンクを貼っておく。これ

 もし, timthumb.php が狙われたとすれば,脆弱情報を入手しての更新がいかに大切か,実感できると思う。私が, timthumb.php の脆弱性に触れたのは,調べてみたら 2011.08.05 のことだった。丸2年前には,アップデートが配布されているわけだから,この既知の脆弱性が残っていたとすれば,これが2年間手当てされていなかったことになる。ロリさんところのような形態のサーバでは,そういうユーザもかなりいるのかもしれない。しかし,これだけだとそのサイトだけ話になるから,他ソフトの脆弱性やサーバの不備を突かれて,これを踏み台に使える方法を見つけられてしまったということなのか。サーバの脆弱性を付かれたと言うことになれば,これはホスティングサービス側の責任が大きいだろう。フリーで気楽に使えるレンタルとなれば,『そういうユーザ』が多くなるのは止むを得ないから,ホスティング側がしっかりしないといけないわけだが,職場として考えたとき,そういう運営をする場合は,優れた技術者を集め最新のインフラを維持するようなコストはかけられないだろうな,と思ってしまう。
 必然的に,サーバ群のセキュリティが,低いまま残っていく,ということになるのかもしれない。

 ところで,うちの Apache の8月のログにも
  ”GET /~/cybercrime.php HTTP/1.1″
なるものが,21日分に残っている。しかし, Error AH00127: Cannot map GET が戻っているので,問題なかったのだろう。ちなみに, Apache のログから /cybercrime.phpが見つかったのは, 2011.4 から今まででこの日だけだった。

 /w00tw00t.at.ISC.SANS.DFind:) とか 0w131 とか phpMyAdmin がらみとかは,よく見かけるんだけどナ。

 そういえば,ほかに uploadify.php の脆弱性にも触れたことがある。このときは,これがらみで「PHP/WebShell.A.1[virus]」が送り込まれてきたようだった。関連の脆弱性がなかったせいか事なきを得たわけだが,なんによらず,素人の自鯖運営者としては,「この間書いたように『新しいものは,気づかれない大穴があるということもあるが,それ以上に古い既知の穴のほうが怖いよというのが,最近のスタンスと思われる。』という姿勢で行くしかないのかなぁ」と思った今回のロリさん達の事件であった。

起きてびっくり,サイト改竄? at よそ様。

投稿アップデート情報  追記

 昨朝,起きて WordPress の日本語ブログのダッシュボードに入って,びっくり。フォーラムのところに,なんと,「サイト改ざん?」の文字が乱舞している。

 いや,うちではないです。よそ様です。フォーラムに初投稿がされたのは一昨日のようだが,一昨日は,芋虫くんにかまけていて,気づかなかった。まぁ,昼からは,いろいろリアルも忙しかったし。

 昨日も昨日で,朝あらかた読んで,ひとまずうちには影響がなさそうなので,予定通りでかけてしまった。(汗)

 しかしねぇ,テストサイトに使っている atpages から,一昨日こういう連絡が来たばかりだったし,
 【@PAGES】【お詫び】ユーザ情報流失に関するお知らせ 2013.08.28
さらに昨日はこれが来たので,
 【@PAGES】【お詫び】ユーザ情報流出に関するお知らせ【第2報】2013.08.29
いずこも同じようなことがあるのかなと思ったわけだ。上記の事件と同じようなといわれたら, atpages は心外かもしれないが……幸いにして,狙われなかっただけ,という気もする。
 今のところ,「ロリポップサーバーでサイト改ざんハッキング被害に遭った方への情報」から跳べる「ロリポップサイト改ざん関連情報 (2013年8月)」を読んでも,はっきりとした原因はわからないわけだが,いろんなことで似たり寄ったりかなと思う。(爆)

 「Hacked by Krad Xin」でググると,表題にこの文字列が入ったものすごい数のサイトが現れる。上記の事件の発端が一昨日だから,事件関連の記事も多いわけだが,それを除いても(年月日設定を去年1年とかしても,ということ),すごい数だ。これって,要するにスクリプトを仕組まれているんじゃないのか?

 フォーラムの話の中に,
> 一般設定のサイトタイトルがHacked by Krad Xinとなっていたのを元のサイト名に戻しました
てのがあるからねぇ。

 今回のクラックはある意味,性がいいかも知れないとか思った。だってね,一番初めに投稿した方が書いているように,クラックされたサイトで文字化けがあったわけだ。そうすると,変だなぁって,気づくよね。「深く静かに潜航」するほうが,たちが悪い。ダメージが一緒なら,早く気づけるほうが手当ても早いわけだから,不幸中の幸いだよ。「Hacked by Krad Xin」でググったときに出てくるサイトのほとんどは,気づいてないのではなかろうか。

 まぁ,「ロリポップ」では,昨年から, WAF が標準装備って謳っていたみたいだけど,あんまり役立てられていなかったようだね。徳丸さんが,「ロリポップ上のWordPressをWAFで防御する方法 」を書いているので(去年の記事を,昨日の時点でタイトル変更,追記までしている),「ロリポップ」を使っている人は,今回の手当が済んだ後は,よく読んで取り組んだほうがいいと思う。

 レンタルサーバだと,導入されていない WAF は使いようがないだろうけど, WordPress 使いとして,せめて出来ることはやっておこう。前にも書いたけど,こんなとこが参考になると思う。

  1. WordPress のセキュリティ、こんな記事は要注意
  2. WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
  3. Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目

 セキュリティ関係はナマモノとはいうものの,上げられてる10個のうちの半分は, WordPress に限る話ではない。 up-to-date とか,パスワード強度とか,ユーザの啓蒙とか。最後のものなんて管理者だったら,一番苦労するとこ。

 しかし,管理者になっている方は,レベルの違いはあれ,日々勉強と縁が切れないってことだ。お互いに,ガンバ!!

追記:
 読み直してみて, wp-config.php や .htaccess のパーミッションの話を全く書いていないのに気付いた。今どき,あの環境で 404 , 604 は当たり前だろうとか思っていたせいで,書き忘れたのかな。結局, wp-config.php については, 400 ってことになったようだ。
 LINUX に詳しくないので,この辺がよくわからないのだが,レンタルサーバで public_html 下のファイルのオーナーと サーバソフトウェアのオーナーが違う場合, 400 にしちまうと, wp-config.php をビジターが使えなくてエラーになりそうな気がするが,その辺,ロリはどうなってんのだろ。
 詳しい方がいらっしゃったら,よろしく。

 ところで,先日
Windows ファイアーウォールからのアラートを受容すると自動的にルールが構築される。しかし,これが甘々なのである。 今回の場合でも,デフォルトだと,すべての IP アドレス&ポート(それも, TCP だけでなく UDP まで)についてオープンしている状態になる。これじゃあんまりなので,”セキュリティが強化された Windows ファイアウォール” の機能を使って,もう少しきっちりと制限しておくべきだと思うのであった。
と書いた件だが,ほかのパーソナルファイアーウォールを入れずに,”セキュリティが強化された Windows ファイアウォール”を使い続けている。この件で少し詳しい記事を書きたいと思っているが,今のところ,思っているだけ。
 一言愚痴っておくと,「スコープ」の細かい設定がしにくい。どなたか,その部分にデータをインポートするいい方法をご存じないですか。

秋ですねぇ。

秋ですねぇ。
秋ですねぇ。
 皆さんのところは,いかがでしたか,雨? 結構大変だったところもあるようなので心苦しいのですが,うちの辺は,ありがたいお湿りという感じでした。本当に梅雨明けからこっち,雨らしい雨が降らなくて,野菜なんかも青息吐息という感じでしたので。一昨日雨が上がってから,暑さが戻ってきましたが,どことなく違いますよね。秋ですねぇ。そんなわけで,8月についてちょっとグラフを作ってみました。ご覧ください,ナンチャッテ。

 ご存知と思いますが, AMeDAS(アメダス) のデータって気象庁のホームページに行けば,過去の分からずらっと利用可能なんです。もっとも,うちの町にあるのはちょっと弱小のアメダスなんで,湿度までは記録されてません。というわけで,湿度については,一番近い市のデータを使ったんですが,まあ,なるほどって感じのグラフになりました。

何の芋虫でしょうか?
何の芋虫でしょうか?
マルマル,つやつやです。
マルマル,つやつやです。
 ところで,今日,家庭菜園で写真の芋虫を見つけたのですが,何の芋虫でしょうかねぇ?今まで見たことないやつなんですが。感じからいうと,蛾のやつっぽいんです。マルマル,ツヤツヤです。斑点は前身部分に4対あって,これはくっきりしていました。ほかに,斑点に入れるべきかどうか悩むような感じの模様もありました。大きさは, 7cm – 8cm というところ。サルビア・グアラニチカについていて,これが食草なんじゃないかと思います。
 お分かりの方いらっしゃいましたら,お教えください。m(_”_)m
 
早速の追記:
 下のコメントで,FHさんに教えていただきました。コスズメの幼虫のようです。教えていただいた参考ページにもリンクしておきます。

 FHさん,ありがとうございました。

本家のお世話-#75。(PHP5.5.3へアップデート)

 Aug-21 17:44:24UTC に PHP5.5.3 が出た。

 ChangeLog によれば, CVE-2013-4248 へのパッチの中にあった UMR(unInitialized Memory Read) を直したとある。ふーん。

 まっ,とにかく,我が家用 (Windows7HP+SP1(x86)) として,VC11 x86 Thread Safe 版の php-5.5.3-Win32-VC11-x86.zip を落としアップデート。 VC11 がいるので,インストールがまだの場合は PHP のコンフィグの前に vcredist_x__.exe を入れておく必要がある。

 php5apache2_4.dll はオフィシャルバイナリに含まれているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

本家のお世話-#74。(PHP5.5.2へアップデート)

 Aug-16 02:13:06UTC に PHP5.5.2 が出たので,いつもの作業。我が家用 (Windows7HP+SP1(x86)) として,VC11 x86 Thread Safe 版の php-5.5.2-Win32-VC11-x86.zip を落としアップデート。 VC11 がいるので,インストールがまだの場合は PHP のコンフィグの前に vcredist_x__.exe を入れておく必要がある。

 ChangeLog によれば, CVE-2013-4248 へのパッチも入っている模様。

 新 php.ini-production には以下の変更があった。
   ”;extension=php_zip.dll” がなくなっている。
   mssql.compatability_mode = Off —> mssql.compatibility_mode = Off に誤字訂正。

 徳丸さんによれば,「【速報】PHP-5.5.2にて大垣さんのstrict sessionsが実装されました」ということらしい。確かに,phpinfo() によれば,session.use_strict_mode = Off が入っている。ただし,Windows 版のデフォルト php.ini-production には,この行は見当たらなかった。

 php5apache2_4.dll は入っているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

覚え書-#15。

 Windows 上で, mo ファイルから po を作る方法。

  1. Poedit をインストールする。
  2. cmd.exe を起動する。
    >cd (Poedit bin パス)
    >msgunfmt -o (po file) (mo file)   —> Command Line Help 参照。
  3. これで, po ファイルができる。ホッ。

 以下の3つのプラグインはかなり前から開発が止まっているので,使うのをやめた。Similar Posts と Post-Plugin Library については,作者に便りをしても返事がなくなってしまったし, Picbox については,作者がはっきり開発をやめるというアナウンスをしている。

  • Similar Posts
  • Post-Plugin Library
  • Picbox

 代わりに下記の2つを使うことにした。

有名どころサイトの改竄について。

 今日も今日とて,デジタル記事を読んでいたら,一般紙でこんなのがあった。読売新聞です。「「見て感染」サイト急増…トヨタ・環境省も被害」というの。こういう無料バージョンの新聞記事というのは,リンクを貼っておいてもすぐ読めなくなっちゃうので,毎度ながらPDFバージョンも作っといた(「見て感染」サイト急増)。

 まあ,過去に WordPress の プラグインの作者のところで,ウイルスを仕込まれそうになったことがあるが,このときも,サーバを管理しているホスティングサービスがおおもとの問題で,かの作者はすぐにできる対策はしたが,根本的には,会社にクレームをつけているようなことを言っていた。

 サーバというものは,いろんなプログラムの集合体で,100%完全ということはありえないわけだが,それでも,開発の続いているものの場合は,日夜攻防が続いている。開発が終わっているものは,攻攻になっちゃうわけで,ここのところで,「最新バージョンを使おうね」という話になるわけだ。新しいものは,気づかれない大穴があるということもあるが,それ以上に古い既知の穴のほうが怖いよというのが,最近のスタンスと思われる。

 Apache,MySQL,PHP,Perl などもしょっちゅうアップデートされているが,私の使っていない大物としては, BIND,Parallels Plesk Panel などの話がある。 BIND については使おうかなと思ったことがあるので,ここの記事でもチラッと触れたことはあるが, Parallels Plesk Panel はまったく縁がなかったので,ここで触れたこともない。しかし,読売の記事を見て,ふっと思い出したのがこれ同PDF版)なのだ。

 Parallels Plesk Panel はコマンドを使い慣れない人には便利なものらしいから,零細なサービスとかでは, JPCERT/CC の危惧どおりいっぱいあるんじゃないかな。その上,ここが困った点なのだが,興味がないと,こういう情報にすら気づかないのが人間なんですよねー。自戒をこめて!!

本家のお世話-#73。(WordPress3.6へアップグレード)

 WordPress 3.6 “Oscar” の本家版が 8 月 1 日に出たので、日本語版を待っていたのだが,先ほど出た。いつもながら, the Codex for Version 3.6 を見るといろいろとてんこ盛りである。

 これまたいつものことだが,マルチサイトの親の言語のせいか日本語版のアップデート情報が表示されないので, wordpress-3.6-ja.zip をマニュアルダウンロードして,アップグレード。

 どんどんと新機能が増えているが,ちゃんと使うためには,テーマの手直しをしないといけないなあ。もとにしたテーマはあるが,いろいろ改造して,ほぼ,自作に近いから,ため息。

本家のお世話-#72。(放蕩サーバの帰還)

 今朝早く,自鯖を古ノートから xw4200 に戻した。 xw4200 の中に,昨日まで一生懸命, Wamp 系サーバを構築していたわけだよね。

 xw4200 は前に使っていたサーバ機で,去年の4月中旬に SCSI HDD が壊れた。 SCSI HDD がダメなんだということを発見するまでずいぶんと手を焼いたものだ。

 今のところ,やつは機嫌よく働いている。「放蕩サーバの帰還」というところかな。 (^o^)(^o^)(^o^)

【現在のサーバ構成】
 Windows7 Home Premium SP1(x86)
 httpd-2.4.6-win32-VC11.zip
 ActivePerl-5.16.3.1603-MSWin32-x86-296746.msi
 php-5.5.1-Win32-VC11-x86.zip
 mysql-5.6.12-win32.zip
 phpMyAdmin-4.0.4.2-english.zip