事故レポファイル第四回 WordPressが乗っ取られた!ほぉぉぉぉぉぉ!

 深夜アニメをリアルタイムで見れる生活を送ろう、そう固く誓ったにもかかわらず、未だ実現できていないヲレだった・・・ 事故レポファイルも第4回です。

今回は、いま世界中、数十億サイトで使われている、CMSの話。WordPressやMovableTypeには、気をつけなはれや…

 

事故の概要

あるメディアの、公開前テストサイトの乗っ取り。公開前のサーバーだからとBasic認証のIDパスワード、CMSのIDパスワードの強度が弱く、狙われた。

 

被害総額

サーバーの立て直し、サイトのバックアップからの復旧に2日間。+人件費。サイトの調査費用×3回分。

 

事故発覚の経緯

診断会社に診断の申し込みがあった。ある大手メディア会社が新しくメディアを立ち上げるという。テストサイトで公開まえ。Basic認証だけはかかっているといういつもの状態だ。

そのサイトを見たところ…乗っ取られとるやんけ!サイトのバナーがバイアグラと、クネクネのアダルティな画像に。  我々がちょうど診断するタイミング、タイムリーに乗っ取りを発見した。

 

初動対応

幸い、編集権限しか乗っ取られていなかったので、被害は特定のページのみ。だが、大事を取りサーバを潰しOSのインストールからすぐにやり直した。

これにより、2日間のロスが発生した。

 

原因と予防策

管理画面へのアクセスに、IP認証。 WordPressを最新版に。まずはそこから。

余談だが、特定のCMSなどのバージョンは意外と確認しやすい。

・Html上にあるgeneretorタグ

・/feed/

・requestheader

・利用中のjqueryのバージョンから

・利用中のcssにcmsバージョンが付記されているなど

などからも確認可能。

利用中のCMSやミドルウェアに脆弱性があって対策やアップデートせず古いバージョンのまま利用していれば、最悪はお漏らししちゃうかもね。

それだけでなく、

・サイトが更新されてない → そもそもwebに興味ない

・phpinfoが設置されたまま →システム管理がざるの可能性

・しかるべきページにSSLが導入されてない →情報保護に関心ない

・問合せフォームのエラーチェック(バリデーション)が適当 → やる気ない

・Responceheaderに色々と隠匿すべき情報が満載 → 管理されてない

この辺は、CMSの脆弱性として塞いでおくべき。

 

 

モリイコウジから一言

何も言うことあらへん。CMSはとにかく危ないんですわ。気をつけなはれや。

IMG_3259

 

 

 

LINEで送る
Pocket

Related Posts