8月30日のtwitterセキュリティクラスタ

yousukezan
8月30日のtwitterセキュリティクラスタです。ロリポップのWordPress大量クラックはサーバーの設定の方に主な原因があったみたいで。

ロリポップの不正アクセスは結局サーバーの設定に問題があったからやられたようです。

「ロリポップ!レンタルサーバー」に大規模な不正攻撃、WordPress サイト8,438件に不正改ざん bit.ly/15DwlQJ #wordpress

ko-zu@cause_less

ロリポップ試してみた。~は登録ドメインから分かる。WP簡単インストールは無効にされてたけどMTのmt-config.cgiは644のまま。ほんとにDBのパスワードリセットしなくていいの?

ko-zu@cause_less

『ロリポップでWordPressの改竄が拡がった理由』不意になにかを残すブログ|causeless.seesaa.net/article/373409…

connect24h@connect24h

やっつけでまとめてみた。GMO ロリポップ不正アクセス騒動をまとめてみた。(メモ) d.hatena.ne.jp/connect24h/201…

isidai@isidai

サーバのパーミッション問題で決着だと思う。 pic.twitter.com/nhAjMFR8ed
@isidai たぶんwp-config.phpを一斉に400にした時点で気がついてたんじゃないかとw

isidai@isidai

@miya0001 そのとおりだと思います。だけどこれはWordPressのプラグインやテーマの脆弱性ではありません。
@isidai そうなんですよ。ほんっと不愉快です。。。

wokamoto@wokamoto

@miya0001 @isidai 「wp-config.php に db のアカウントとパスワードが書いてあることが脆弱性だ」とか言いだしたらキレるでしかし。

isidai@isidai

ロリポの発表、嘘だな。侵入経路分かった。

田中邦裕@kunihirotanaka

@isidai サーバのパーミッションと、Apache経由のアクセス可能性にあるわけですが、そっと伝えたほうがいいですよ。

田中邦裕@kunihirotanaka

@isidai はっきりとは書けませんが、PHPのモジュールモードや、.htaccessのOptionsの許可は、共用サーバでは鬼門ですね。あと、MySQLに外部アクセス許可を与えるのも、何かあったときに問題が大きいです。

Akira Matsuda@mzdakr

@kunihirotanaka @isidai こういった系でしょうかね whmscripts.net/misc/2013/apac…

isidai@isidai

@mzdakr それでした。コンボ技で実現できました。

WordPress情報@WordPressInfoJP

WordPress利用サイト改ざん、レンタルサーバ「CPI」が注意呼び掛け: 「ロリポップ」に続き「CPI」でも、WordPrssを利用しているサイトへの不正アクセスや改ざん被害が増加。運営元が注意を呼びかけている。 K… binged.it/172oqIP

kenjis@kenji_s

しかし、今回のロリポップの事件で「wp-config.phpのパーミッションは400」というのが浸透すれば、WPの安全性が高まるのですがね

徳丸 浩@ockeghem

根本原因がファイル/ディレクトリのパーミッションとして、最初の侵入は(1)お試しで申し込みした、(2)最初はどこかの利用者サイトの脆弱性を悪用…の両方の可能性はあると思う。日本語が分からない人の攻撃だと、(1)より(2)の方が簡単という可能性はあるので…
セキュリティ面の強化のため、8/30 19:40より緊急メンテナンスを行っております。ご迷惑をお掛けいたしますが、完了まで今しばらくお待ちください。詳細はこちらのインフォメーションにてご確認いただけます。 lolipop.jp/info/mainte/41…

徳丸 浩@ockeghem

『[2013/08/30 19:13 追記]…「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております』 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について lolipop.jp/info/news/4149/

kenjis@kenji_s

お、ロリポップ、FollowSymLinks禁止のメンテナンス完了ですか ow.ly/opu9K

INTERNET Watch@internet_watch

ロリポップ!の改ざん被害、WordPressプラグイン/テーマの脆弱性から侵入か bit.ly/15pcwID

ITmedia@itmedia

[News]「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備 bit.ly/1dWtJRl

浸透いうな@tss_ontap_o

“みんなわかってたんでしょ? / とある共用レンタルサーバの改竄が話題になっていますが、、、” e-ontap.com/blog/20130831.…
8/31 03:04現在の対応状況を掲載いたしました。全てのWordPressで使用されているデータベースのパスワードの変更および、該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換えを順次実施しております。 lolipop.jp/info/news/4149/

その他に気になったことはこのあたり。

三上洋@mikamiyoh

波紋広がる2ちゃん流出を書きました/2ちゃん有料会員のカードと個人情報 : YOMIURI ONLINE(読売新聞) bit.ly/18ptM2f

INTERNET Watch@internet_watch

「@PAGES」で17万人超のユーザー情報が流出、パスワードは平文で bit.ly/15pelFv
流出させたのは2ちゃんねると同じ人ですね

ITmedia@itmedia

[News]WordPress利用サイト改ざん、レンタルサーバ「CPI」が注意呼び掛け bit.ly/1dslAp3
同社によると、不正アクセスの多くはIDやパスワードを総当たりで入力するブルートフォース攻撃で行われているほか、脆弱性のある古いバージョンのWordPressを利用していたり、管理パネルやFTPアカウントのパスワードが簡単なものに対して行われているという。

IIJ@IIJ_PR

定期発行技術レポートIIR vol.20発行。「ホームルータのセキュリティ」、「迷惑メール送信を目的とした不正SMTP認証の増加」、「違法ダウンロード刑事罰化の影響は限定的」を掲載。 bit.ly/159x4Wp (柴)

Mamoru Saito@msaitotypeR

TelecomISAC Japan【注意喚起】ネットバンキング不正アクセス事案に関係するマルウェア感染への注意喚起等について telecom-isac.jp/news/news20130…

でえもん@dmnlk

《特別座談会》 セキュリティ三銃士がそろい踏み! 今ある脅威の知られざる真相を語る 第1回 news.mynavi.jp/articles/2013/…

@ntsuji 氏 @ockeghem氏 @MasafumiNegishi 氏 はセキュリティ三銃士だったんですね…

トレンドマイクロ@trendmicro_jp

Java6の未修正脆弱性を使用した攻撃を確認しています。
古いバージョンのアプリを使用し続けることが大きなリスクとなる例です

ブログ更新:
Java 6に存在するゼロデイ脆弱性を確認、最新版への更新を!
blog.trendmicro.co.jp/archives/7773

Neutral8x9eR@0x009AD6_810

Windows 7 SP1 で IE 9 のバージョンを 9.0.8112.16446 にせよ。さすれば MS13-059 CVE-2013-3184 の PoC は成功する。(9.0.8112.16421 じゃダメだからね)github.com/rapid7/metaspl…

Blackberry@Bangkok@bbsbangkok

スノーデン、520億ドル諜報予算の詳細をリーク。「攻撃的サイバー作戦」が暴露:
米国安全保障局情報漏洩者で新ロシア住民のエドワード・スノーデンが、最高機密の520億ドル諜報予算をWashington Postにリークし… bit.ly/170Vp08
7月の国内フィッシング事情:オンラインゲームのフィッシングが活発化 dlvr.it/3tQLr9

トレンドマイクロ@trendmicro_jp

「onionドメイン」上の掲示板で個人情報漏洩が発生しています

ブログ更新:
2ちゃんねるビューア個人情報流出事件でも使用された「onionドメイン」とは
blog.trendmicro.co.jp/archives/7781

ITmedia@itmedia

[エンタープライズ]エキスパートに聞く、オンライン犯罪市場の構造変化と撲滅への取り組み bit.ly/1dWvAWp
EMCのセキュリティ部門RSA Securityによると、2013年に入ってフィッシング詐欺の動向に変化がみられるという。

ITmedia@itmedia

[エンタープライズ]CiscoのSecure Access Control Serverに極めて深刻な脆弱性 bit.ly/1fmHEy5
リモートの攻撃者が細工を施したEAP-FASTパケットを送り付けることによって任意のコマンドを実行し、サーバを制御できてしまう恐れがある。

ITmedia@itmedia

[エンタープライズ]萩原栄幸の情報セキュリティ相談室:パスワードや暗証番号の作り方と未来予想図 bit.ly/12QSiuy
結局誰もやらないようなとても面倒くさいパスワードの作り方でした。
https://matome.naver.jp/odai/2137782306988627301
2013年08月31日