WordPressへの大規模攻撃のまとめ
追記しました
@KOBA789版のまとめを参照の上この記事を読むことをおすすめします。
バージョンが最新版の3.6でも不正アクセスが発生していることを考えると、
未修正の脆弱性に対するゼロデイ攻撃、もしくはWordPressのバージョンに縛られない箇所からの攻撃であると考えられる。
ロリポップの情報によると、 http://lolipop.jp/info/news/4149/
この攻撃の対策にwp-config.phpのパーミッションを400にして一般ユーザーからのファイル読み込みを防止した模様。
この情報が出た時間帯に攻撃が一度止むも、つい先程(11:30過ぎ)からまた攻撃が再開されている。
wp-config.phpのパーミッションが変えられても攻撃が続行されているところが気になる。
とまぁここらへんで時間がなくなったので突然のおわり。
帰ってきたら解決してるといいですね
----
中途半端に投げておくのもアレなのできちんとまとめます。
攻撃対象はロリポップに集中しているようなのでロリポップメインの話になるかと思います。
ロリポップにて逐次情報が発信されています。
「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について
19:33時点の情報によると、午前中に確認された被害件数よりも更に多くの被害が確認されたそうですが、HACK DB等を見る限り情報の追加も止まっているようなので攻撃は止んだと思われます。
攻撃の状況について
/wp-login.phpに対するブルートフォース攻撃が確認されています。
ブルートフォースの頻度は様々であるものの、十分な強度を持ったパスワードを攻略するほどの試行回数には見えません。
パスワードの強度が弱かったアカウントが不正アクセスの被害に遭っているだけであるならば、管理者の問題だということで終わってしまうのですが、これだけ大規模となると他に何かあるのではないかと考えるのが自然だと思います。
妄想
(※あくまでなんとなく思いついたことをくっつけただけなので完全な妄想です。)
この一連の問題では、wp-login.phpへのブルートフォース攻撃やwp-config.phpのパーミッション変更という対策が取られているため、これらの事実を強引につなげると、
WordPressへのブルートフォース攻撃をして、成功したアカウントから他ユーザーのwp-config.phpを読みだして他のWordPressへと広がっていく
ような攻撃の形式だったのかもしれません。
誰かロリポップのどのサーバーに攻撃が集中してるとか調べたりしてないのかなあ。