2013年8月29日

lolipop wordpress大規模ハッキングされたIPリスト

ロリポが大規模にやられたようなので覚書

やられたのはwordpressをインストールしていたサイトだけのようです
wordpressのsecurity holeかプラグインのsecurity holeか改ざんの経路は特定できていない
サーバーには進入されていないと公式がいっているという状況です

当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について
http://lolipop.jp/info/news/4149/

【重要】WordPressをご利用のお客様へ
http://lolipop.jp/info/news/4148/

WordPressフォーラム:サイト改ざん?
http://ja.forums.wordpress.org/topic/24503

対策

マジめな話をすると、Lolipop退会して他のサービスに移転をオススメします

wordpressが使えるレンタルサーバーを容量以外で比較まとめ
http://kuni92.net/2013/02/post-117.html


移転したくない、lolipop使うんだという場合

・WAFは有効にしましょう

ロリポップ上のWordPressをWAFで防御する方法
http://blog.hash-c.co.jp/2012/12/how-to-protect-your-wordpress-on-lolipop.html

・mysqlのパスワード変更してからwp-config.phpの内容を変更

変えるのはこの辺

define('DB_PASSWORD', 'password');
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');

phpmyadminパスワード変更方法
http://phpspot.net/php/pgphpmyadmin%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E5%A4%89%E6%9B%B4%E6%96%B9%E6%B3%95.html

・ファイルのパーミッションの変更(ロリポ公式より)
.htaccess 404
wp-config.php 400

上記3つはしたほうがよいとおもいます


ハッキングされたIPリスト

ドメインより引いて sort | uniq -c | sort しました
最初の数字がカウントされた回数、次が該当するIPアドレスです

1個しかでていないのはcloudflareだったりします


Attacks Archive of Krad Xin (BD GREY HAT HACKERS)
http://www.hack-db.com/hacker/Krad_Xin/all.html

$ ./lolipop.pl | sort | uniq -c | sort -n

1 108.162.196.165
1 108.162.197.165
1 141.101.116.204
1 141.101.116.91
1 141.101.117.204
1 141.101.117.91
1 157.7.176.107
1 157.7.176.214
1 157.7.176.62
1 157.7.177.77
1 157.7.177.90
1 157.7.177.97
1 203.189.109.133
1 203.189.109.168
1 203.189.109.80
1 203.189.109.85
1 210.172.144.245
1 210.172.144.27
1 210.249.74.117
4 203.189.109.157
5 210.172.144.177
14 203.189.109.150
18 203.189.109.104
18 210.172.144.208
21 203.189.109.146
21 203.189.109.170
22 203.189.109.223
24 203.189.109.106
24 203.189.109.176
24 203.189.109.239
25 203.189.109.186
26 203.189.109.120
26 203.189.109.237
28 203.189.109.187
30 203.189.109.112
30 210.172.144.246
31 203.189.109.174
31 210.172.144.22
32 203.189.109.181
33 203.189.109.225
35 203.189.109.183
37 203.189.109.128
38 203.189.109.145
40 210.172.144.209
57 210.172.144.247
69 210.172.144.21
72 210.172.144.242
73 210.172.144.24
96 210.172.144.243
115 203.189.109.245
115 210.172.144.61


Hacked by Krad Xin - japan
http://pastebin.com/tvKHHJTk

$ ./lolipop.pl | sort | uniq -c | sort -n

1 108.162.198.91
1 108.162.199.91
1 112.78.125.43
1 114.179.224.110
1 116.197.170.243
1 116.197.174.144
1 119.82.28.244
1 122.200.253.144
1 125.206.115.10
1 141.8.224.25
1 150.60.11.200
1 153.122.22.177
1 157.7.144.5
1 157.7.176.197
1 157.7.176.233
1 157.7.177.90
1 173.245.60.84
1 173.245.61.84
1 174.127.75.111
1 182.48.26.30
1 182.48.37.5
1 203.142.203.178
1 203.189.109.124
1 203.189.109.172
1 203.189.109.199
1 203.189.109.94
1 208.87.35.103
1 210.157.19.51
1 210.172.144.129
1 210.172.144.229
1 210.172.144.242
1 210.188.201.163
1 210.188.201.41
1 210.188.201.55
1 219.94.200.50
1 54.249.6.205
1 66.6.44.4
1 69.43.160.163
1 69.43.161.171
1 74.125.31.121
1 77.78.119.71
2 114.142.158.42
2 219.94.217.198
8 203.189.109.87
9 203.189.109.92
10 203.189.109.78
13 141.8.224.35
14 203.189.109.80
15 203.189.109.69
16 203.189.109.76
18 203.189.109.82
19 210.172.144.10
22 203.189.109.161
22 203.189.109.167
28 203.189.109.131
28 203.189.109.148
28 203.189.109.220
32 203.189.109.105
32 203.189.109.155
32 203.189.109.160
32 203.189.109.168
33 203.189.109.150
34 203.189.109.114
34 203.189.109.118
35 203.189.109.138
35 203.189.109.163
36 203.189.109.120
36 203.189.109.146
37 203.189.109.157
39 203.189.109.110
39 203.189.109.112
39 210.172.144.177
39 210.172.144.27
41 203.189.109.103
41 203.189.109.107
41 203.189.109.162
41 203.189.109.95
41 210.172.144.156
42 203.189.109.100
42 203.189.109.125
43 203.189.109.128
46 203.189.109.126
46 203.189.109.164
47 203.189.109.169
51 203.189.109.145
55 203.189.109.109
60 203.189.109.104
61 203.189.109.106
61 210.172.144.77
72 210.172.144.23
112 210.172.144.245
134 210.172.144.22
145 210.172.144.157
158 210.172.144.21
166 210.172.144.208
189 210.172.144.24
211 210.172.144.209
277 210.172.144.246

Hacked by Krad Xin - japan part 2 big
http://pastebin.com/30y7u1Z6

$ ./lolipop.pl | sort | uniq -c | sort -n

1 107.20.206.69
1 108.162.196.165
1 108.162.197.165
1 108.162.198.69
1 108.162.199.69
1 110.50.245.14
1 112.78.219.189
1 113.192.236.39
1 120.136.10.50
1 120.136.14.11
1 120.136.14.26
1 120.136.14.32
1 120.136.14.50
1 120.136.14.68
1 141.101.116.27
1 141.101.116.58
1 141.101.116.91
1 141.101.117.27
1 141.101.117.58
1 141.101.117.91
1 157.7.176.102
1 157.7.176.107
1 157.7.176.173
1 157.7.176.214
1 157.7.176.32
1 157.7.176.6
1 157.7.176.62
1 157.7.176.87
1 157.7.177.122
1 157.7.177.7
1 157.7.177.77
1 157.7.177.97
1 173.231.14.130
1 182.48.26.108
1 182.48.37.27
1 182.48.53.67
1 202.172.25.26
1 203.189.105.115
1 203.189.109.126
1 203.189.109.133
1 203.189.109.139
1 203.189.109.142
1 203.189.109.151
1 203.189.109.215
1 203.189.109.234
1 203.189.109.76
1 203.189.109.85
1 203.189.110.231
1 203.189.110.24
1 208.87.35.103
1 210.152.132.10
1 210.157.19.51
1 210.157.22.6
1 210.172.144.156
1 210.172.144.157
1 210.172.144.21
1 210.172.144.245
1 210.188.199.246
1 210.188.201.33
1 210.232.1.116
1 210.249.74.117
1 211.10.15.149
1 216.185.152.143
1 218.216.74.188
1 219.118.71.55
1 219.94.155.217
1 219.94.203.52
1 219.94.217.67
1 219.99.166.207
1 49.212.121.205
1 49.212.187.227
1 49.212.207.24
1 49.212.216.112
1 49.212.235.148
1 49.212.72.192
1 54.248.123.112
1 59.106.166.147
1 66.6.40.35
1 66.6.40.49
1 69.43.161.171
1 69.59.170.208
1 8.5.1.16
1 93.184.216.119
2 108.162.196.119
2 108.162.197.119
2 141.101.116.204
2 141.101.117.204
2 175.45.1.4
2 82.98.86.163
23 203.189.109.218
28 141.8.224.35
28 203.189.109.230
29 203.189.109.229
30 203.189.109.188
30 203.189.109.223
32 203.189.109.193
33 203.189.109.170
34 203.189.109.176
34 203.189.109.237
36 203.189.109.186
36 210.172.144.178
36 210.172.144.246
37 203.189.109.189
39 203.189.109.196
39 203.189.109.214
39 203.189.109.235
39 203.189.109.74
40 203.189.109.182
40 203.189.109.185
40 203.189.109.187
40 203.189.109.239
41 203.189.109.232
42 203.189.109.225
43 203.189.109.183
44 203.189.109.181
44 203.189.109.70
47 203.189.109.67
48 203.189.109.228
52 203.189.109.174
52 203.189.109.192
57 203.189.109.190
57 203.189.109.71
80 210.172.144.179
86 210.172.144.247
95 210.172.144.27
106 210.172.144.77
110 203.189.109.246
119 203.189.109.243
125 203.189.109.241
139 210.172.144.10
162 203.189.109.242
162 203.189.109.245
192 210.172.144.243
223 210.172.144.242
387 210.172.144.61

他関連情報

攻撃方法はsymlinkだったので、契約しているサーバーが上記に載っている場合はwp-config.phpの中身を変えたほうが良いです

さくらの田中さん...


ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
http://blog.tokumaru.org/2013/09/symlink-attack.html

某レンタルサーバでの大規模改ざんで起こっていた(と推測される)状態の整理。
http://wp.kaz.bz/tech/2013/08/31/1755.html

GMO ロリポップ不正アクセス騒動をまとめてみた。(メモ)
http://d.hatena.ne.jp/connect24h/20130830

Apache HTTPD: `Options -FollowSymLinks` は不完全
http://fumiyas.github.io/2013/09/03/no-followsymlinks-is-not-safe.html

共用サーバにおけるSymlink Attacksによる攻撃とその対策について
http://tanaka.sakura.ad.jp/2013/09/symlink-attack.html

[メモ] ロリポップのmysqlサーバへ外部ネットワークから接続できるのは18台 (8/29現在)
http://www.tama200x.com/blog/?p=1464

ロリポップは、MySQLサーバにグローバルから接続できる(ものがある)
http://d.hatena.ne.jp/ozuma/20120503/1335975957

スポンサーリンク



  • follow us in feedly