バランスを取りたい

よくCTFの記事を書きます

WordPressへの大規模攻撃のまとめ

追記しました

@KOBA789版のまとめを参照の上この記事を読むことをおすすめします。


バージョンが最新版の3.6でも不正アクセスが発生していることを考えると、
未修正の脆弱性に対するゼロデイ攻撃、もしくはWordPressのバージョンに縛られない箇所からの攻撃であると考えられる。


ロリポップの情報によると、 http://lolipop.jp/info/news/4149/
この攻撃の対策にwp-config.phpパーミッションを400にして一般ユーザーからのファイル読み込みを防止した模様。


この情報が出た時間帯に攻撃が一度止むも、つい先程(11:30過ぎ)からまた攻撃が再開されている。
wp-config.phpパーミッションが変えられても攻撃が続行されているところが気になる。


とまぁここらへんで時間がなくなったので突然のおわり。


帰ってきたら解決してるといいですね


----


中途半端に投げておくのもアレなのできちんとまとめます。


攻撃対象はロリポップに集中しているようなのでロリポップメインの話になるかと思います。


ロリポップにて逐次情報が発信されています。
「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について


19:33時点の情報によると、午前中に確認された被害件数よりも更に多くの被害が確認されたそうですが、HACK DB等を見る限り情報の追加も止まっているようなので攻撃は止んだと思われます。


攻撃の状況について

/wp-login.phpに対するブルートフォース攻撃が確認されています。
ブルートフォースの頻度は様々であるものの、十分な強度を持ったパスワードを攻略するほどの試行回数には見えません。


パスワードの強度が弱かったアカウントが不正アクセスの被害に遭っているだけであるならば、管理者の問題だということで終わってしまうのですが、これだけ大規模となると他に何かあるのではないかと考えるのが自然だと思います。


データベースへのクラッキングの噂

@KOBA789 の指摘にもある通り、一部にはロリポップ以外のサーバーが含まれていることと、
基本的にレンタルサーバーでは外部からのアクセスを拒否しているはずなのでこの可能性は低いと考えられます。


ロリポップ公式のwp-config.phpパーミッション変更について

最初に不正アクセスを受けたアカウント上のwp-config.phpパーミッションが変更されました。
不正アクセスを受けてから変更したところであまり効果がないような気もしますが、
サーバー上のすべてのWordPressのwp-config.phpパーミッションが変更された頃からは攻撃の情報が少なくなったように思います。


この対策がどう働いたかは詳しく分からないものの、サーバーを管理している側が講じた対策なので、
不正アクセスの原因はwp-config.phpが何らかの方法で読み出されたことが原因であるのかもしれません。




妄想

(※あくまでなんとなく思いついたことをくっつけただけなので完全な妄想です。)

この一連の問題では、wp-login.phpへのブルートフォース攻撃やwp-config.phpパーミッション変更という対策が取られているため、これらの事実を強引につなげると、

WordPressへのブルートフォース攻撃をして、成功したアカウントから他ユーザーのwp-config.phpを読みだして他のWordPressへと広がっていく

ような攻撃の形式だったのかもしれません。

誰かロリポップのどのサーバーに攻撃が集中してるとか調べたりしてないのかなあ。